DDoS攻擊分析 - 資通安全研發中心

DDoS 攻 擊 分 析
主 講 人 : 曾 龍 助 理 教 授
興 國 管 理 學 院 資 訊 科 學 系 助 理 教 授
TEL:(06)2870549
E-mail: drbt@pchome.com.tw
btseng@mail.hku.edu.tw
1

大 綱
• Introduction:DDoS 攻 擊 之 嚴 重 性
• DDoS 攻 擊 之 災 難 史
• DDoS 攻 擊 模 式 分 析 與 分 類 學
• DDoS 防 禦 技 術
• 結 論
2

DDoS
3

DDoS 攻 擊 之 嚴 重 性
1. 2000 年 遭 受 DDoS 攻 擊 造 成 yahoo、eBay、CNN、Amazon 等 商
業 網 站 癱 瘓 達 數 小 時 之 久 。
2. 2003 年 SQL Slammer Worm 攻 擊 企 業 網 站 資 料 庫 , 造 成 美 洲 及 亞
洲 地 區 的 網 路 嚴 重 癱 瘓 。
3. 2004 年 1 月 底 Mydoom 病 毒 更 以 最 高 一 秒 鐘 感 染 1200 封 電 子 郵
件 , 造 成 全 球 網 路 的 重 大 損 失 。
網 路 安 全 事 件 層 出 不 窮 !!
4

DDoS 攻 擊 之 嚴 重 性
5

DDoS 攻 擊 之 嚴 重 性 -
CSI/FBI 2003 Computer Crime and
Security Survery
6

DDoS 攻 擊 之 嚴 重 性 -
CSI/FBI 2003 Computer Crime and
Security Survery
7

DDoS 攻 擊 之 嚴 重 性 -
CSI/FBI 2003 Computer Crime and
Security Survery
8

DDoS 攻 擊 之 嚴 重 性 -
CSI/FBI 2003 Computer Crime and
Security Survery
9

DDoS 攻 擊 之 嚴 重 性 -
CSI/FBI 2003 Computer Crime and
Security Survery
10

DDoS 攻 擊 之 嚴 重 性 -
House Homeland Security Committee
• UC Berkeley 教 授 Shankar Sastry 於 2003 年 7 月
18 日 在 美 國 House Homeland Security
Committee 中 提 出 當 前 DDoS 及 Worm 攻 擊 是 主
要 防 禦 的 任 務
America House Homeland Security Committee Chair and Professor of Department, EE/CS, University of
California Berkeley. The Importance of Research in Cybersecurity and What More Our Country Needs to Do.
http://www.house.gov/thornberry/news_releases_2003.htm
http://www.techlawjournal.com/home/newsbriefs/2003/07e.asp
11

DDoS 攻 擊 之 嚴 重 性 -
Justification and Requirements for a National DDoS
Defense Technology Evaluation Facility, 2002 July
Network Associates Laboratories for DARPA
12

Attack Sophistication vs. Intruder
Knowledge
email propagation of malicious code
DDoS attacks
“stealth”/advanced scanning techniques
increase in worms
widespread attacks using NNTP to distribute attack
sophisticated command
& control
widespread attacks on DNS infrastructure
executable code attacks (against browsers)
automated widespread attacks
GUI intruder tools
hijacking sessions
Internet social engineering
attacks
packet spoofing
automated probes/scans
widespread
denial-of-service
attacks
techniques to analyze
code for vulnerabilities
without source code
anti-forensic techniques
home users targeted
distributed attack tools
increase in wide-scale
Trojan horse distribution
Windows-based
remote controllable
Trojans (Back Orifice)
Attack Sophistication
Intruder Knowledge
1990 2004
Source: Special permission to reproduce the CERT ©CC
13

DDoS 攻 擊 之 災 難 史 -Up to 1996
• Point-to-point (single threaded)
• SYN flood
• Fragmented packet attacks
• “Ping of Death”
• “UDP kill”
http://staff.washington.edu/dittrich/
14

DDoS 攻 擊 之 災 難 史 -1997
• Combined attacks
• Targa
• bonk, jolt, nestea, newtear, syndrop, teardrop,
winnuke
• Rape
• teardrop v2, newtear, boink, bonk, frag, fucked,
troll icmp, troll udp, nestea2, fusion2, peace
keeper, arnudp, nos, nuclear, sping, pingodeth,
smurf, smurf4, land, jolt, pepsi
http://staff.washington.edu/dittrich/
15

DDoS 攻 擊 之 災 難 史 -1998
• fapi (May 1998)
• UDP, TCP (SYN and ACK), ICMP Echo, "Smurf" extension
• Runs on Windows and Unix
• UDP comms
• One client spoofs src, the other does not
• Built-in shell feature
• Not designed for large networks (

DDoS 攻 擊 之 災 難 史 -1999
• More robust and functional tools
• trin00, Stacheldraht, TFN, TFN2K
• Multiple attacks (TCP SYN flood, TCP ACK
flood, UDP flood, ICMP flood, Smurf…)
• Added encryption to C&C
• Covert channel
• Shell features common
• Auto-update
http://staff.washington.edu/dittrich/
17

DDoS 攻 擊 之 災 難 史 -2000
• More floods (ip-proto-255, TCP NULL flood…)
• Pre-convert IP addresses of 16,702 smurf amplifiers
• Stacheldraht v1.666
• Bundled into rootkits (tornkit includes stacheldraht)
http://www.cert.org/incident_notes/IN-2000-10.html
• Full control (multiple users, by nick, with talk and stats)
• Omegav3
• Use of IRC for C&C
• Knight
• Kaiten
• IPv6 DDoS
• 4to6 (doesn’t require IPv6 support)
http://staff.washington.edu/dittrich/
18

DDoS 攻 擊 之 災 難 史 -2001
• Worms include DDoS features
• Code Red (attacked www.whitehouse.gov)
• Linux “lion” worm (TFN)
• Added scanning, BNC, IRC channel hopping
(“Blended threats” term coined in 1999 by AusCERT)
• “Power” bot
• Modified “Kaiten” bot
• Include time synchronization (?!!)
• Leaves worm
http://staff.washington.edu/dittrich/
19

DDoS 攻 擊 之 災 難 史 -2002
• Distributed reflected attack tools
• d7-pH-orgasm
• drdos (reflects NBT, TCP SYN :80, ICMP)
• Reflected DNS attacks, steathly (NVP
protocol) and encoded covert channel comms,
closed port back door
• Honeynet Project Reverse Challenge binary
http://project.honeynet.org/reverse/results/project/020601-
Analysis-IP-Proto11-Backdoor.pdf
20

DDoS 攻 擊 之 災 難 史 -2003
• Slammer worm (effectively a DDoS on local
infrastructure)
• Windows RPC DCOM insertion vector for
“blended threat” (CERT reports “thousands”)
• More IPv6 DoS (requires IPv6 this time)
• ipv6fuck, icmp6fuck
21

DDoS 攻 擊 之 災 難 史 -2004
• Mydoom worm
• Unlike most e-mail worms, Mydoom.A was
correctly identified by the anti-virus industry as a
major worm from the beginning of the outbreak on
Jan. 27, 2004.
• May send out attachments
in .bat, .cmd, .exe, .pif, .scr, or .zip. ZIPs are more
likely to bypass the corporate gateway.
• Attacks SCO.COM with a DDoS attack.
22

DDoS 攻 擊 模 式 分 析
•Traditional DDoS attakcks
•Worm drive DDoS attacks
23

Introduction –From DoS to DDoS
• DoS
• A single traffic originator.
• Relatively flat and simple attack path and tool.
• Can be defeated by tight security policies and measures
e.g. Firewall and Vender specialized patches
• DDoS
• Multiple traffic generators (Demons).
• Multi dimensional attack paths and tools.
• The hardest security problem
• limitation of current network measures and components
• multiplicity of attack method
• Invisibility of the operator to the hosts sites
• Needs of Real-time, dynamic Detection & Defense mechanism
24

Overall Steps In A DDoS Attack
• Step one
• Look for vulnerable systems to install handlers/masters/clients This
is usually automated and takes advantage of well known system
vulnerabilities
• Using these vulnerabilities or a tool such as rootkit compromise and
install the handlers
• Step two
• Look for vulnerable systems to install the agents/zombies/daemons.
This is usually automated and takes advantage of well known
system vulnerabilities
• Using these vulnerabilities or a tool such as rootkit compromise and
install the handlers
• Step Three
• Execute Attack
SYMANTEC:The Crippling Effects of DDoS: How to Prevent Distributed 25 Denial of Service Attacks

DDoS 攻 擊 原 理 (1/2)
Vern Paxson.” An Analysis of Using Reflectors for Distributed Denial-of-Service Attacks”,
AT&T Center for Internet Research at ICSI International Computer Science Institute
26
Berkeley, CA USA, July 2001.

DRDoS 攻 擊 原 理 (2/2)
Vern Paxson.” An Analysis of Using Reflectors for Distributed Denial-of-Service Attacks”,
AT&T Center for Internet Research at ICSI International Computer Science Institute
27
Berkeley, CA USA, July 2001.

攻 擊 分 類
• Bandwidth consumption: 阻 絕 服 務 攻 擊 , 通 常 是 攻 擊 者 發 送 大 量 的
網 路 packet, 到 victim 的 伺 服 器 主 機 , 使 得 被 害 者 的 網 路 頻 寬 耗 盡 ,
網 路 完 全 癱 瘓 。
• Systetem resource starvation: 造 成 伺 服 器 主 機 在 同 時 間 內 所 需 要 服
務 的 數 目 暴 增 , 超 出 原 本 伺 服 器 所 能 夠 服 務 的 上 限 。 此 類 攻 擊 均 能 夠
造 成 伺 服 器 無 法 回 應 正 常 使 用 者 的 要 求 , 因 而 造 成 阻 絕 服 務 。
• Exceptional condition exploitation:Attacker 設 計 一 些 有 缺 陷 的 應 用
程 式 導 致 操 作 系 統 或 硬 體 裝 置 處 理 發 生 不 正 常 的 情 況 , 藉 由 以 緩 慢 的
攻 擊 方 式 , 進 而 導 致 系 統 或 硬 體 的 運 作 能 力 降 低 。
• Routing and Domain Name Service(DNS) manipulation: 基 本 的
DoS 攻 擊 包 括 惡 意 的 操 控 路 由 表 , 導 致 網 路 流 量 不 正 常 的 被 引 導 到 其
他 網 路 。Attacker 在 DNS Server 上 的 攻 擊 主 要 讓 Domain Name 對 應
到 錯 誤 的 IP Address。
Justification and Requirements for a National DDoS Defense Technology
Evaluation Facility, 2002 July Network Associates Laboratories for DARPA
Network Associates Laboratories Report #02-052 28

攻 擊 模 式 (1/4)
• TCP connection: Three way handshake
Client
Client
Client
SYN
ACK
SYN/ACK
Server
Server
Server
• SYN flood attack:
• 只 傳 送 SYN connection 請 求 , 對 Server 回 應 之
SYN+ACK 不 給 予 回 應
• Server 保 留 此 connection 請 求 狀 態 , 直 到 timeout
• 發 送 大 量 SYN flood packets, 佔 用 Server connetion 請
求 , 使 無 法 接 受 其 他 正 常 請 求 , 達 到 Denial-of-Service
29

攻 擊 模 式 (2/4)
• ICMP flood:
• Attacker 傳 送 大 量 PING Data 給 Server
(1) (2)
A
ICMP Echo Request
B
Attacker
偽 造 Source IP Address = B
ICMP Echo Reply
B
Echo Reply B
Server
30

攻 擊 模 式 (3/4)
• UDP flood:
• 發 送 一 連 串 或 大 量 的 UDP 封 包 到 Server,
並 且 將 Source IP Address 偽 造 成 B , 因 此
造 成 在 Server 與 B 之 間 的 Network Traffic 會
持 續 不 停 的 存 在 , 達 到 Denial-of-Service
的 目 的 。
Attacker
偽 造 Source IP Address = B
B
Echo Reply to Server
Echo Reply to Client
31
Server

攻 擊 模 式 (4/4)
• Smurf
A
• 將 source IP Address 放 入 Broadcast
Address
Attacker
大 量 ICMP Echo request
偽 造 Source IP Address = Broadcast Address
B
C
Large traffic here
32
Server

DDoS Attack Tools
33

Worm drive DDoS attack
34

紅 色 警 戒 CodeRed 蠕 蟲
• 2001 年 7 月 19 日 首 隻 「 紅 色 警 戒 」 蠕 蟲 (Code
Red Worm) 出 現 後 , 就 不 斷 在 網 路 上 搜 尋 及
感 染 有 安 全 漏 洞 的 電 腦 和 網 路 設 備 , 並 以 每 小
時 感 染 超 過 五 千 台 電 腦 速 度 擴 散 中 。
• 據 估 計 , 約 有 四 十 萬 台 IIS 伺 服 器 遭 到 「 紅 色 警
戒 」 的 毒 手 , 全 球 損 失 則 在 40 億 美 元 左 右 。
• 2001 年 8 月 , 受 CodeRed 影 響 , 台 灣 TAnet 對
外 流 量 過 大 , 教 育 部 不 得 已 只 好 暫 時 關 閉 對 國
外 連 線
35

紅 色 警 戒 CodeRed 病 蟲 (cont.)
• 國 內 網 路 環 境 在 此 一 事 件 中 亦 遭 受 嚴 重
波 及 , 先 是 擁 有 伺 服 器 或 固 定 IP 位 址 的
ADSL 用 戶 , 接 著 縣 市 政 府 也 遭 到 感 染 甚
至 當 機 , 而 擁 有 高 速 頻 寬 的 ISP 業 者 災 情
也 十 分 嚴 重 , 據 一 家 知 名 ISP 業 者 表 示 ,
平 均 每 天 有 15 萬 至 20 萬 的 不 明 封 包 企 圖
入 侵 其 企 業 網 站 。
36

CodeRed 蔓 延 情 形
http://www.caida.org
37

紅 色 警 戒 CodeRed 病 蟲
• 發 布 日 期 :2001/7/20 (2001/6/20)
• 說 明 : 會 自 我 繁 殖 入 侵 系 統 的 惡 意 程 式
碼 , 能 輕 易 入 侵 沒 有 修 補 過 的 IIS WEB
伺 服 器 。
38

感 染 系 統
• Windows NT 4.0 和 Windows 2000 有 感 染 的 可
能 。 如 果 安 裝 了 IIS 4.0 或 IIS 5.0 網 頁 伺 服 器 就
更 危 險 。
• Cisco CallManager, Unity Server, uOne,
ICS7750, Building Broadband Service
Manager (these systems run IIS)
• Unpatched Cisco 600 series DSL router
• Windows 3.1,Windows 95,98 與 Windows ME
系 統 並 不 會 受 到 感 染 。
• Windows XP 有 可 能 被 感 染
39

攻 擊 模 式 :SYN flood
client
server
Initiate
connection
SYN
SYN, ACK
Incomplete
connection
Complete
connection
ACK
Complete
connection
40

攻 擊 模 式 :SYN flood (cont.)
41

Code Red I 攻 擊 原 理
• 掃 描 受 害 主 機 的 TCP 80 port 。
• 攻 擊 者 送 出 一 個 設 計 過 的 HTTP GET 要 求 給 受
害 主 機 , 試 圖 利 用 在 Microsoft Security 的
Indexing Services 的 Buffer Overflow 弱 點 。
• 如 果 成 功 了 ,Code Red Worm 就 開 始 在 受 害
主 機 上 執 行 。 首 先 , 會 先 檢 查 C:\notworm 這
個 檔 案 是 否 存 在 。 如 果 這 個 找 到 這 個 檔 案 , 則
停 止 執 行 。
42

Code Red I 攻 擊 過 程 (cont.)
• 如 果 C:\notworm 這 個 檔 案 不 存 在 ,Code Red
Worm 開 始 隨 機 的 掃 描 其 它 正 在 listen TCP port
80 的 主 機 , 並 利 用 它 找 到 的 弱 點 入 侵 。
• 如 果 受 害 主 機 的 預 設 語 言 是 英 文 , 則 在 100 個 掃
描 Threads 開 始 後 , 而 且 在 受 感 染 一 段 時 間 後 ,
受 害 主 機 上 的 所 有 網 頁 將 被 更 換 成 下 列 訊 息 :
Hello ! Welcome to http://www.worm.com!
Hacked By Chinese!
• 如 果 受 害 主 機 的 預 設 語 言 不 是 英 文 ,Code Red
Worm 則 會 繼 續 掃 描 但 不 會 更 換 網 頁 。
43

• 2001-08-04 12:44:15 203.248.127.165 -
140.116.163.234 80 GET /default.ida
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%u
cbd3%u7801%u9090%u6858%ucbd3%u7801%u909
0%u9090%u8190%u00c3%u0003%u8b00%u531b%
u53ff%u0078%u0000%u00=a
44

CodeRed II 攻 擊 原 理
• 利 用 同 樣 的 漏 洞 與 同 樣 的 shellcode
• 用 來 trigger BoF 的 是 "X", 之 前 版 本 用 "N"
• 這 次 對 中 文 版 作 了 許 多 加 強 的 功 能 , 例 如 中 文
版 Chinese (Taiwan) and Chinese (RPC) 會 產
生 600 個 thread, 英 文 版 只 有 300 個
• Sleep 潛 伏 期 - 非 中 文 語 系 作 業 系 統 一 天 , 中
文 語 系 作 業 系 統 兩 天
• 安 裝 後 門 。
• check 時 間 ,year >= 2002 會 reboot,month
>= 10 也 會 reboot
45

CodeRed II 攻 擊 原 理 (cont.)
• 2001-08-04 13:49:17 140.117.74.61 -
140.116.163.234 80 GET /default.ida
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXX%u9090%u6858%ucbd3%u780
1%u9090%u6858%ucbd3%u7801%u9090%u6858%
ucbd3%u7801%u9090%u9090%u8190%u00c3%u00
03%u8b00%u531b%u53ff%u0078%u0000%u00=a
46

CodeRed II 攻 擊 原 理 (cont.)
• copy cmd.exe to /scripts/root.exe
• copy cmd.exe to /msadc/root.exe
• 讓 系 統 default 執 行 explorer c:\ or d:\
explorer.exe
• 建 立 c:\ or d:\ 下 explorer.exe
• 寫 入 c:\ or d:\ 下 explorer.exe
• 處 理 c:\ 後 換 處 理 d:\
47

CodeRed II 攻 擊 原 理 (cont.)
• http://IpAddress/c/inetpub/scripts/root.ex
e?/c+dir (if root.exe was still there)
• http://IpAddress/c/winnt/system32/cmd.
exe?/c+dir (Where dir could be any
command an attacker would want to
execute).
48

Nimda 攻 擊 原 理 (cont.)
• 主 要 是 透 過 Email 方 式 來 進 行 傳 播 及 感 染 , 利 用
IIS 4.0/5.0 的 安 全 漏 洞 及 sadmind/IIS CodeRed
II 遺 留 的 後 門 來 感 染 IIS 網 站 , 感 染 途 徑 比 「 紅
色 警 戒 」 更 多 , 同 時 被 感 染 後 更 易 成 為 駭 客 攻 擊
時 的 工 具 。
• 主 要 感 染 Windows 95、Windows 98、
Windows ME、 Windows NT、 Windows 2000
Windows XP
49

Nimda 原 理
• 微 軟 IE 異 常 處 理 MIME head 漏 洞 。
• Microsoft IIS Unicode 解 碼 漏 洞 。
• Microsoft IIS 處 理 CGI 文 件 名 時 , 錯 誤
地 兩 次 解 碼 。
• "CodeRedII" 和 Sadmind/IIS 蠕 蟲 留 下 的
後 門 程 序 。
50

傳 播 途 徑
• 透 過 Email 傳 染
• 透 過 網 路 共 享 傳 染
• 透 過 瀏 覽 網 頁 從 被 感 染 的 web server 傳 染
• 利 用 “Microsoft IIS 4.0 / 5.0 directory
traversal” 弱 點 , 主 動 掃 描 並 且 傳 染 給 未 經
patch 的 IIS web server
• 利 用 "Code Red II" and "sadmind/IIS" worms
所 留 下 的 後 門 從 client 掃 描 及 感 染 web server
51

感 染 病 徵
• 郵 件 傳 播 時 的 特 徵 :
- 定 義 MIME 格 式 為 "text/html" , 不 過
內 容 並 沒 有 text, 所 以 信 件 並 無 內 容
- 定 義 MIME 格 式 為 “audio/x-wav” , 但
它 的 內 容 為 base64-encoded 的 附 擋 ,
檔 名 為 "readme.exe" 的 可 執 行 檔
52

感 染 病 徵 (cont.)
• 被 感 染 系 統 特 徵 :
- 在 C:\、D:\、E:\ 下 以 及 其 他 目 錄 下 有 很
多 Admin.dll 文 件 。
- 存 在 大 量 的 readme.eml 或
readme.nws。
- 存 在 大 量 的 riched20.dll。
-C:\Windows\System 目 錄 下 存 有
load.exe。
53

感 染 病 徵 (cont.)
- 在 Windows 臨 時 目 錄 下 存 在 很 多 名 為
“MEP*.TMP.EXE” 的 文 件 。
- C 磁 碟 被 設 為 共 享 , 共 享 名 為 C$。
- guest 用 戶 被 開 啟 並 被 加 到 管 理 員 群
組 。
注 意 : 上 述 檔 案 大 都 被 設 置 了 隱 藏 屬 性
54

SQL-Slammer Worm
• 2003 年 1 月 25 日 起 , 全 球 網 際 網 路 開 始 遭 受 到
SQL Slammer 網 蟲 的 威 脅 。
• 主 以 Microsoft SQL Server 2000 及 Microsoft
Desktop Engine(MSDE)2000 為 目 標 , 侵 入
受 害 主 機 並 以 UDP port 1434 高 速 傳 送 封 包 溢
滿 網 際 網 路 , 形 成 分 散 式 阻 斷 服 務 攻 擊
(DDoS)。
• 為 此 國 家 資 通 會 報 決 定 1 月 27 日 起 各 機 關 團
體 , 正 式 對 外 發 佈 藍 色 警 戒 。
55

受 害 災 情
• 美 國 銀 行 超 過 13000 部 提 款 機 無 法 提 供 服
務 。
• 加 拿 大 皇 家 商 業 銀 行 TM 系 統 完 全 停 擺 。
• 韓 國 電 信 業 者 KoreaTelecom 、Freetel、
SK Telecom 等 ISP 網 路 服 務 幾 乎 完 全 癱
瘓 。
• 美 國 國 務 院 等 政 府 機 關 網 路 遭 受 猛 烈 攻
擊 。
56

受 害 災 情 (cont.)
• 英 國 市 場 調 查 機 構 Mi2g 公 司 預 測 ,SQL
Slammer Worm 網 蟲 出 現 的 第 5 天 , 全 世
界 範 圍 內 的 生 産 損 失 額 達 到 9.5 億 美 元 ,
最 高 甚 至 可 達 到 12 億 美 元 。 損 失 主 要 來
自 網 域 伺 服 器 (DNS) 的 癱 瘓 、 銀 行 自
動 提 款 機 中 斷 、 機 票 等 網 路 預 購 系 統 中
斷 、 信 用 卡 收 付 款 系 統 故 障 等 損 失 所 造
成 的 。
57

SQL Slammer Worm 蔓 延 情 形
58

病 毒 原 理
• 利 用 SQL Server 解 析 服 務 (Resolution
Service) 緩 衝 區 溢 出 (buffer overflow) 的
弱 點 而 允 許 在 SQL Server 上 執 行 任 意 程
式 碼
• 利 用 SQL Server 解 析 服 務 (Resolution
Service) 的 弱 點 使 用 keep-alive 功 能 對 其
它 主 機 展 開 阻 斷 服 務 (denial of service)
攻 擊
59

病 毒 原 理
• 攻 擊 者 可 以 偽 造 來 源 IP 為 其 中 一 台 區 域
SQL Server, 並 且 傳 送 封 包 給 鄰 近 的
SQL Server, 造 成 兩 台 SQL Server 不 停
的 交 換 封 包 , 降 低 受 害 SQL Server 執 行
效 率 並 消 耗 大 量 的 系 統 及 網 路 頻 寬 資 源
60

病 毒 特 性
• 只 要 單 一 區 域 網 路 有 一 台 主 機 中 毒 , 就 會 不 斷
發 出 大 量 封 包 佔 據 整 個 區 域 網 路 的 頻 寬 , 根 據
實 例 , 一 個 頻 寬 為 100Mb 的 區 域 網 路 內 只 要 有
一 台 主 機 中 毒 將 會 佔 據 60~80Mb 的 頻 寬 。 這 將
會 造 成 其 他 主 機 網 路 連 線 的 困 難 。
• 病 毒 並 不 侵 入 電 腦 硬 碟 , 而 是 存 於 記 憶 體 中 ,
因 此 中 毒 主 機 只 要 離 線 修 補 後 再 重 新 開 機 就 具
有 免 疫 能 力 。
• 如 無 需 要 , 將 解 析 服 務 移 除 安 裝 。
61

MSBlast
• 趨 勢 科 技 指 出 ,2003/8/13 已 知 的 全 球 受
害 電 腦 超 過 一 百 萬 台 ; 而 國 內 有 二 百 家
大 型 企 業 和 二 千 家 小 型 企 業 的 通 報 , 初
步 估 計 全 台 約 有 五 萬 台 電 腦 受 害
• 病 毒 會 自 行 複 製 , 然 後 再 透 過 網 路 搜 尋
其 他 可 攻 擊 的 電 腦 大 量 散 播 , 並 造 成 電
腦 系 統 不 穩 定 , 有 的 案 例 甚 至 造 成 當 機
( 例 如 重 新 開 機 )
62

DCOM RPC Vulnerability
RPC 是 Windows 所 使 用 的 通 訊 協 定 。 可 讓 電 腦
上 所 執 行 的 程 式 能 夠 執 行 遠 端 電 腦 上 的 程 式 碼 。
RPC 在 TCP/IP 上 處 理 訊 息 交 換 的 部 份 有 一 個 弱
點 , 其 為 不 當 處 理 格 式 錯 誤 的 訊 息 。 此 弱 點 會 影
響 使 用 RPC 的 分 散 式 元 件 物 件 模 型 (DCOM) 介
面 並 接 聽 RPC 啟 用 的 連 接 埠 。 此 介 面 負 責 處 理 用
戶 端 電 腦 傳 送 到 伺 服 器 的 DCOM 物 件 啟 動 要 求 。
攻 擊 者 能 夠 利 用 此 弱 點 在 受 影 響 的 系 統 上 使 用 本
機 系 統 權 限 執 行 程 式 碼 並 進 行 任 何 動 作 。 攻 擊 者
可 以 通 過 135(UDP/TCP)、137/UDP、138/UD
P、139/TCP、445(UDP/TCP)、593/TCP 埠 進 行
63
攻 擊 。

MSBlast 攻 擊 過 程
MSBlaster BufferOverrFlow In
RPC Interface
TCP Port 135
Get msblast.exe
Listening TFTP Port 69
Open Backdoor TCP Port 4444
利 用 "BufferOverrFlow In RPC Interface" 弱 點 透 過 TCP Port 135
進 行 攻 擊 , 取 得 遠 方 電 腦 控 制 權 , 並 傳 送 MSBLAST.EXE 檔 案 到 %Sy
stem% 目 錄 中 , 並 透 過 受 感 染 電 腦 系 統 中 的 69 與 4444 連 結 埠 去 攻 擊
感 染 更 多 的 電 腦 。
64

在 封 包 內 容 有 以 下 字 串 特 徵 :
I just want to say LOVE YOU SAN!! billy gates why
do you make this possible ? Stop making money a
nd fix your software!!
65

Mydoom
• Mydoom 是 一 種 大 量 傳 送 郵 件 的 蠕 蟲 。
• 通 常 以 .bat、.cmd、.exe、.pif、.scr 或 .zip
的 副 檔 名 格 式 夾 帶 在 信 件 中
• 透 過 Kazza 軟 體 的 點 對 點 檔 案 網 路 分 享 功 能
於 網 路 上 散 播 。
66

簡 介 (cont.)
• 病 毒 從 清 單 中 選 取 e-mail 的 主 旨 、 信 件 內
容 及 附 加 檔 案 的 名 稱 來 完 成 一 封 完 整 的
電 子 郵 件 並 大 量 散 播 。
• 病 毒 會 假 造 寄 件 者 欄 位 的 名 稱 , 所 以 寄
件 者 所 顯 示 的 使 用 者 並 不 一 定 真 的 有 中
毒 。
67

感 染 病 徵 (cont.)
• 產 生 shimgapi.dll 檔 案 , 在 系 統 中 開 啟
TCP port 3127-3198 當 成 後 門 。 駭 客 利
用 此 後 門 作 為 Proxy 來 取 得 網 路 上 的 其
它 資 源 , 並 能 遙 控 電 腦 並 執 行 任 意 檔
案 。
68

感 染 病 徵 (cont.)
• 蠕 蟲 大 小 :22,528 bytes
• 受 影 響 之 系 統 :Windows 2000, Windows 95,
Windows 98, Windows Me, Windows NT,
Windows Server 2003, Windows XP
69

病 毒 特 徵 (cont.)
• 使 用 阻 絕 服 務 攻 擊 (DoS) 攻 擊 某 商 業 網 站
www.sco.com。
• 檢 查 系 統 日 期 , 如 果 中 毒 電 腦 的 系 統 日 期 是
2004 年 2 月 1 日 以 後 的 日 期 ( 包 括 2 月 1 日 當 天 ),
病 毒 便 會 攻 擊 該 網 站 。 2 月 12 日 後 將 停 止 散
佈 。 但 仍 可 利 用 後 門 進 入 該 主 機 。
• 此 病 毒 會 忽 略 以 某 些 特 定 結 尾 的 網 址 ( 如 .edu)
以 避 免 被 追 查 。
70

病 毒 特 徵 (cont.)
• 當 Mydoom 在 傳 送 電 子 郵 件 時 , 它 會 避 免 將 郵 件 傳 送
到 含 有 下 列 字 串 的 任 何 網 域 :
• hotmail
• .gov
• unix
• kernel
• sendmail
• pgp
• ….
71

病 毒 特 徵 (cont.)
• 當 傳 送 電 子 郵 件 時 , 它 會 避 免 將 郵 件 傳 送 到 符
合 下 列 任 何 字 串 的 帳 戶 :
• root
• webmaster
• anyone
• ….
• 或 是 含 有 下 列 任 何 字 串 的 帳 戶 :
• admin
• support
• accoun
• ….
72

自 我 檢 查 是 否 中 毒
• 點 選 開 始 > 執 行 , 輸 入 CMD 然 後 按 Enter, 輸 入 netstat
檢 查 是 否 開 啟 TCP 埠 3127 到 3198 之 任 一 埠 , 如 果 有 的
話 , 即 可 能 受 到 感 染 。
• 點 選 開 始 > 搜 尋 , 尋 找 SHIMGAPI.DLL 之 檔 案 , 如 果 存
在 此 檔 案 , 即 可 能 受 到 感 染 。
73

Port
3127
已 開 啟
74

75
後 門 檔 案

DDoS 攻 擊 模 式 分 類 學
•Taxonomy of DDoS Attack Mechanisms
•Taxonomy of DDoS Defense Mechanisms
76

A Taxnomy of DDoS Attack and
DDoS Defense Mechanisms
77

Preventive mechanisms
• Classifications of preventive
mechanisms
• Attack prevention mechanism
• Denial-of-service prevention mechanism
78

Attack prevention mechanism
• Modify the system configuration to eliminate the possibility
of a DDoS attack
• System security mechanism
• Increase the overall security of the system
• Guard against illegitimate accesses to the machine
• Remove application bugs
• Update protocol installations to prevent intrusions
and misuse of the system.
• Protocol security mechanism
• Address the problem of bad protocol design
79

Taxonomy of DDoS Attack
Mechanisms
80

Taxonomy of DDoS defense
mechanisms
• Classification by activity level
• Preventive
• Reactive
• Classification by deployment location
81

Taxonomy of DDoS Defense
Mechanisms
82

Reactive mechanisms
• Classification based on detection strategy
• pattern detection
• anomaly detection
• hybrid attack detection
• third-party attack detection
• Classification based on response strategy
• agent identification
• rate-limiting
• filtering
• reconfiguration
• Classification based on cooperation degree
• autonomous
• cooperative
• independent
83

Classification by detection strategy
Mechanisms with pattern attack
detection(1)
• Strategy
• Store the signatures of known attacks in a
database
• Update the database with new attack signatures
occasionally
• Disadvantage
• Only can detect known attacks
• Helpless against new attacks or even slight
variations of old attacks that cannot be matched to
the stored signature.
84

Classification by detection strategy
Mechanisms with anomaly attack
detection(2)
• Strategy
• Have a model of normal system behavior
• Periodically compare with the models to detect anomalies
• Anomalies are detected when the current system state
differs from the model by a certain threshold
• Advantage
• Can detect unknown attacks
• Disadvantages
• Difficult to set proper threshold in detection
• Model update makes the detection mechanism vulnerable
85

Classification by detection strategy
Mechanisms with hybrid attack
detection(3)
• Strategy
• Combine the pattern-based and anomaly-based
detection
• Use stored data to devise new attack signatures
and update the database
• Disadvantages
• If these systems are automated, they must be
careful when extracting a signature from a
detected attack, otherwise the system itself can
become a DoS tool if normal activity be detected
as an attack signature.
86

Classification by detection strategy
Mechanisms with third-party attack
detection(4)
• Strategy
• Rely on an external message that signals
the occurrence of the attack
• Aim to relieve the impact of DoS and
minimize collateral damage
• Examples including traceback
mechanisms
87

Classification by response strategy
Agent identification mechanisms(1)
• Strategy
• Provide the victim with information about
the identity or the machines that are
performing the attack
• This information can then be combined
with other response approaches to
alleviate the impact of the attack
88

Classification by response strategy
Rate-limiting mechanisms(2)
• Strategy
• Impose a rate limit on a stream that has been
characterized as malicious by the detection
mechanism.
• Usually deployed when the detection mechanism has
a high level of false positives or cannot precisely
characterize the attack stream
• Disadvantage: high scale attacks be effective
89

Classification by response strategy
Filtering mechanisms(3)
• Strategy
• Use the characterization provided by a detection
mechanism to filter out the attack stream
completely.
• Disadvantages
• Run the risk of accidentally denying service to
legitimate traffic
• Clever attackers might leverage them as DoS tool.
90

Classification by response strategy
Reconfiguration mechanisms(4)
• Strategy
• Change the topology of the victim or the
intermediate network to either add more
resources to the victim or to isolate the
attack machines.
91

Classification by cooperation degree
Autonomous mechanisms(1)
• Perform independent attack detection
and response
• Usually deployed at a single point and
act locally
• Example
• Firewalls
• Intrusion detection systems
92

Classification by response strategy
Cooperative mechanisms(2)
• Capable of autonomous detection and
response
• Can achieve significantly better
performance through cooperation
• Detect DDoS attack by observing
congestion in a router’s buffer,
characterize the traffic creating the
congestion.
93

Classification by response strategy
Independent mechanisms(3)
• Rely on other entities either for attack
detection or for efficient response
• Cannot operate autonomously
94

Classification by deployment
location
• Victim-Network mechanisms
• Intermediate-Network mechanisms
• Source-Network mechanisms
95

DDoS Attack
Bandwidth
Depletion
Resource
Depletion
Flood
Attack
Amplification
Attack
Protocol Exploit
Attack
Malformed
Packet Attack
UDP
ICMP
Smurf
Attack
Fraggle
Attack
TCP
SYN
Attack
PUSH +
ACK
Attack
IP Address
Attack
IP Packet
Options
Attack
Random
Port
Attack
Same
Port
Attack
Spoof
Source IP
Address?
Spoof
Source IP
Address?
Spoof
Source IP
Address ?
Spoof
So urce IP
Address?
Spoof
Source IP
Address?
Spoof
Source IP
Address?
Spoof
Source IP
Address?
Direct
Attack
Loop
Attack
96

DDoS Software
Tool
Agent Setup
Attack Network
Communication
OS Supported
Installatio
Hide with
Rootki
Protoco
Encryptio
Agent
A ctivation
Method
Unix
Linu
Solari
Window
Active
Passiv
Yes
No
TC
UDP ICMP
Bugged
Website
Corrupted
File
Agent -
Handler
IRC
Base
Actively
Poll
Lie &
Wait
Softwar
Backdoo
Vulnerabilit
Trojan
Horse
Program
Buffer
Overflo
Yes,
Private or
Secret
Chann
No,
Public
Chann
Client-
Handle
Agent -
Handler
Non
97 Characteristics of DDoS Software Tools

98
Mitigate/Stop
Attacks
DDoS
Countermeasur
Detec/Preven
Potential
k
Deflect
Attacks
Detect/Prevent
Secondary
Victims
Dynamic
Pricing
Install
Softwar
Patche
Post-Attack
Forensic
Network
Service
Providers
Individual
Users
MIB
Statistics
Egress
Filtering
Drop
Request
Throttling
Load
Balancin
Honeypot
Study Attack
Shadow Real
Network
Resource
Traffic
Pattern
Analysis
Event
Logs
Packet
Tracebac
Detect
Neutraliz
Handler
Built - in
Defense

4.DDoS 防 禦 技 術
•General Prevention
•IP Traceback
•Tolerance
99

General Prevention
• User and System Administrator Actions
• 建 議 安 裝 個 人 式 的 防 火 牆 軟 體 , 幫 助 系 統 抵 禦 阻 絕
大 部 分 的 網 路 攻 擊 。
• 定 期 查 看 系 統 Log File 是 否 有 無 可 疑 的 紀 錄 。
• 使 用 可 得 的 工 具 定 期 查 看 系 統 、 伺 服 器 等 , 確 定 無
被 植 入 可 疑 程 式 對 使 用 者 帳 戶 資 料 庫 存 取 等 未 知 的
改 變 。
• 避 免 下 載 來 路 不 明 的 軟 體 , 以 避 免 被 植 入 後 門 或 感
染 病 毒 。
• 定 期 注 意 CERT、SANS、TruSecure (ICSA) 及 相 關
防 毒 公 司 所 發 佈 之
100

General Prevention -
netstat command
•Stacheldraht: attacker master
101

General Prevention –
lsof –c mserv
•Stacheldraht: attacker master
102

General Prevention –
Find_ddos (FBI)
103

General Prevention
• Local Network Actions
• Router 在 連 接 外 部 Internet 的 Interface 應 設
定 條 件 過 濾 的 機 制 。
• 關 閉 Router 直 接 Broadcast 的 能 力 。
• RFC1918 明 確 定 義 Private IP Addresses 無
法 在 Internet 進 行 路 由 。
104

General Prevention –
Ingress Filtering
• Ingress Filtering
• Router 上 對 封 包 往 外 傳 送 的 來 源 位 址 做 設 限 , 由
某 些 interface 經 過 的 封 包 作 過 濾 。
• 可 在 流 量 小 且 單 純 的 edge router 上 設 定 , 因 為
在 edge router 上 只 負 責 少 數 網 域 的 封 包 , 可 以
很 清 楚 很 快 速 的 作 檢 查 。 如 是 在 流 量 大 又 負 責 數
個 網 域 轉 傳 的 router 上 , 此 法 很 明 顯 的 會 讓
router 的 performance 降 下 來 。 雖 然 此 法 不 會 造
成 其 他 不 必 要 的 網 路 流 量 , 但 卻 會 造 成 效 能 下
降 , 更 重 要 的 是 會 引 響 到 幾 個 需 要 用 到 source IP
spoof 技 巧 才 能 完 成 的 服 務 , 例 如 : Mobile IP。
105

Ingress/egress filtering
boosting source accountability
Net: 169.237.6.*
207.12.1.56
filtering
policies
drop it or not??
Is the source IP address of this incoming IP packet
valid from this particular network interface???
1. Static configuration
2. Routing table reverse look-up
3. Routing information analysis (BGP/OSPF/RIP)
106

How to find “Sources” of Attacks?
• IP traceback
• Finding the real IP of an attacker or the IP
of the router that is closest to the attacker.
• Two general approaches:
• Reactive approaches: tracebacks are initiated
in response to attacks.
• Proactive approaches: traceback data are
recorded so that tracebacks can be done later.
107

Current IP traceback approaches
• Reative:
• Link test
• Input debugging
• Controlled flooding
• Proactive:
• Logging
• Messaging
• Marking
108

Current IP traceback approaches
(cont.)
• The key requirements for IP traceback
methods
• Compatibility :
• Existing protocol
• Existing router
• Network infrastructure
• Overhead :
• Network traffic
• Time
• Resources
109

Link Testing
• 從 最 接 近 受 害 者 的 router 開 始 , 循 序 向
上 檢 查 所 有 的 連 線 , 找 到 內 含 攻 擊 的 封
包 。
• 分 別 為 input debugging 和 controlled
flooding。
• 此 方 式 僅 假 設 為 在 找 到 真 正 的 攻 擊 者 之
前 , 這 個 攻 擊 者 必 須 仍 在 持 續 攻 擊 中 。
110

Link testing
111
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami

Link testing – Input debugging
• To determine the attack traffic’s specific
characteristics.
• Use 『 Attack signature 』 to determine
the incoming link on the router.
• To apply it until the traffic’s source is
identified—or the trace leaves the
current ISP’s border.
112

input debugging
113
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami

Link testing-controlled flooding
• Using a map of the known Internet
topology around the victim
• Flooding each incoming network link on
the routers
• Observing how this affects the attack
traffic’s intensity
• Deducing which link carries the attack
traffic.
114

A&D of controlled flooding.
115
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami

Logging
• 在 重 要 的 router 上 面 記 錄 封 包 的 資 訊 ,
在 事 後 使 用 data mining 的 方 式 來 得 知
封 包 經 過 哪 些 主 機 。 雖 然 這 個 方 法 可 以
在 事 後 判 斷 出 攻 擊 者 的 所 在 , 但 是 它 所
需 要 的 資 源 與 設 備 非 常 的 龐 大 , 而 且 幾
乎 沒 有 機 構 使 用 它 。
116

Challenges to Logging
• Attack path reconstruction is difficult
• Packet may be transformed as it moves
through the network
• Full packet storage is problematic
• Memory requirements are prohibitive at
high line speeds (OC-192 is ~10Mpkt/sec)
• Extensive packet logs are a privacy risk
• Traffic repositories may aid eavesdroppers
117

Logging (cont.)
118

Logging (cont.)
• Alex Snoeren: SPIE
• Source Path Isolation engine
• Storing only a hash digest
• Tatsuya Baba and Shigeyuki Matsuda
• An overlay network of sensors:
• detect potential attack traffic
• Tracing agents (tracers) log the attack
packets on request
• Managing agents
119

Logging
120
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami

Solution: Packet Digesting
• Record only invariant packet content
• Mask dynamic fields (TTL, checksum, etc.)
• Store information required to invert packet
transformations at performing router
• Compute packet digests instead
• Use hash function to compute small digest
• Store probabilistically in Bloom filters
• Impossible to retrieve stored packets
121

122

Invariant Content
28
bytes
Ver
TTL
HLen
Identification
TOS
Protocol
D
F
Source Address
Destination Address
Options
M
F
Total Length
Fragment Offset
Checksum
First 8 bytes of Payload
Remainder of Payload
123

Bloom Filters
• Fixed structure size
• Uses 2 n bit array
n bits
1
• Initialized to zeros
H 1 (P)
1
• Insertion is easy
H(P)
2 • Use n-bit digest as
indices into bit array
• Mitigate collisions by
using multiple digests
• Variable capacity
• Easy to adjust
• Page when full
H 3 (P)
. . .
H k (P)
1
1
2 n
bits
124

BBN Technologies-SPIE Architecture
125

Hardware Implementation
126

Pushback
• 將 所 有 的 流 量 分 成 Good Traffic、Bad Traffic 與
Poor Traffic。
• 當 一 個 router 開 始 丟 棄 (drop) 封 包 的 時 候 , 即
代 表 這 個 link 開 始 擁 塞 , 此 時 就 在 丟 棄 的 封 包 中
檢 查 是 否 有 攻 擊 的 封 包 包 含 在 內 。 當 發 現 有 可 疑
的 封 包 時 就 找 出 其 上 一 層 由 哪 一 部 Router(A) 送
出 , 進 而 由 Router 送 一 個 控 制 訊 息 給 Router(A)
去 控 制 此 攻 擊 連 線 的 流 量 。
• 若 Router 無 法 精 確 地 辨 斷 各 個 流 量 , 其 他 正 常
的 流 量 也 很 可 能 被 引 響 到 , 這 種 稱 為 Poor
traffic。
127

Implementing Pushback: Router-Based
Defense Against DDoS Attacks
128

Implementing Pushback: Router-Based
Defense Against DDoS Attacks
DDoS Attacks and Pushback Steven M. Bellovin
http://www.research.att.com/˜ smb
129

Implementing Pushback: Router-Based
Defense Against DDoS Attacks
DDoS Attacks and Pushback Steven M. Bellovin
http://www.research.att.com/˜ smb
130

PPM
• Router 在 固 定 的 機 率 ρ 下 , 將 自 己 IP Address
分 段 放 入 IP Header 中 的 ID 欄 位 。 並 將 16 bit
的 ID 欄 位 分 為 3 bit 的 offset,8 bit 為 start 和
end 欄 位 和 5 bit 的 distance 欄 位 。
• 如 router 決 定 在 這 個 packet 上 面 記 下 自 己 的 IP
Address, 則 便 將 distance 設 為 零 。 若 這 個 封 包
的 distance 已 經 為 零 , 則 代 表 這 個 封 包 已 經 被
mark 過 了 ,router 就 把 它 的 IP Address 寫 進 去
end 這 個 欄 位 。 而 每 個 這 個 封 包 經 過 一 個
router, 每 個 router 就 幫 他 在 distance 這 個 欄 位
加 1。
131

PPM (cont.)
132

Probabilistic Packet Marking
(PPM)
• 16 bit ID field is used for marking
• Each router marks the packet with a probability P
• Edge id (64 bit) is fragmented
• ID contains edge fragment, offset and distance field
Problem:
• Large number of packets
• Less packets from routers near the attacker
• No router may mark - attacker can send spoofed
marks
• Fragment reassembly during DDoS
• Not more than 10 attackers at a particular distance
133
IP Traceback using Deterministic Edge Router Marking (DERM) By Shravan K Rayanchu

Probabilistic Packet Marking
• Probabilistic packet marking (PPM)
• Probabilistically inscribe its local path information
• Use constant space in the packet header
• Reconstruct the attack path with high probability
• Merits
• Efficiency and implementability
• Weaknesses
• Marking field spoofing problem
134

s’
s
Marking Field Spoofing on PPM
Attack path
v 1 v 2
Forged path
v 3
t
s
s’
v 1
v 2
v 3
t
An attacker can use fake marking to forge a path
that is equally likely as the true attack path.
Reconstructed
attack path
135

Effectiveness of PPM
Analysis under marking field spoofing:
• Single source attacks
• Effective localization to within 2~5 sites.
• Distributed attacks
• Uncertainty amplification on DDoS.
• Further information
Uncertainty Factor Distribution
Park and Lee, Tech. Rep. CSD-00-013,
Purdue Univ, which was presented at
IEEE INFOCOM 2001.
http://www.cs.purdue.edu/nsl/ppm-tech.ps
136
Uncertainty Amplification on
DDoS Attacks

Packet marking (cont.)
137

Summary of DoS Attack Study
Resourc
Ingress
e
Filtering
Manage
Traffic
Analysis
ICMP
Messages
PPM
DPF
Cost X O X ∆ ∆ ∆
Deployment O ∆ ∆ ∆ O O
Traceback X X O O O O
Protection ∆ ∆ X X X O
Scalability X X X X X O
X: poor, ∆: good, O: excellent
138

Deterministic
Packet Marking (DPM)
• 在 封 包 要 出 所 有 的 edge router 的 時 候 , 都 由 edge
router 在 incoming interface 上 面 , 把 該 interface 的 IP
Address 附 在 封 包 的 ID + Unused Bit ( 共 17 bit) 上 面 。
因 為 只 有 17 bit 的 長 度 不 夠 放 總 長 32 bit 的 IP
Address, 所 以 將 會 由 router 以 亂 數 的 方 式 將 IP
Address 的 某 一 個 部 份 放 上 。 當 封 包 到 達 victim 端 時 ,
若 這 個 攻 擊 連 線 所 送 的 封 包 數 足 夠 時 ,victim 端 就 有 很 大
的 機 會 重 組 出 攻 擊 者 的 真 正 來 源 。 此 法 包 含 了 Packet
Marking 這 種 方 法 的 特 性 , 只 需 要 在 每 個 interface 上 面
加 上 標 記 IP Address 的 功 能 即 可 , 不 需 要 其 他 的 網 路 流
量 , 也 不 需 要 其 他 的 網 路 設 備 與 管 理 。 但 也 保 有 了
Packet Marking 的 弱 點 , 需 要 使 用 到 ID 這 個 欄 位 , 使 得
IP 封 包 的 fragment 功 能 產 生 不 能 正 常 運 作 的 缺 點 [4], 雖
然 有 人 對 此 法 作 改 進 , 但 仍 無 法 避 免 這 個 性 況 發 生 。 另
外 , 此 法 也 無 法 在 攻 擊 封 包 數 非 常 小 的 情 形 上 運 作 。
139

Deterministic
Packet Marking (DPM)
140

Deterministic
Packet Marking (DPM)
Tracing Multiple Attackers with Deterministic Packet Marking (DPM) 141 Andrey Belenky and Nirwan Ansari
Advanced Networking Laboratory, ECE Department, NJIT, Newark, NJ 07102, USA

Deterministic
Packet Marking (DPM)
Tracing Multiple Attackers with Deterministic Packet Marking (DPM) 142 Andrey Belenky and Nirwan Ansari
Advanced Networking Laboratory, ECE Department, NJIT, Newark, NJ 07102, USA

Deterministic
Packet Marking (DPM)
Tracing Multiple Attackers with Deterministic Packet Marking (DPM) 143 Andrey Belenky and Nirwan Ansari
Advanced Networking Laboratory, ECE Department, NJIT, Newark, NJ 07102, USA

Deterministic Packet Marking (DPM)
• Why identify the path?
• Only construct the ingress edge router IP address
• Uses interfaces as units of traceback
• Only the ingress interface closest to the source
marks the packet
• 32 bit IP address is broken into 2 parts
• 1 bit RF for identifying the part
• How would you assemble the fragments?
• Modification: send a hash along
• More fragments
• High false positive rate
Problem: Per packet filtering cannot be employed
144
IP Traceback using Deterministic Edge Router Marking (DERM) By Shravan K Rayanchu

StackPi: Path Identification Mechanism
• Why even construct the IP addresses?
• Characterize the attack packets by the path
information
• Each router marks the packet deterministically
• Take last n bits of the hash of IP address and
append
• Only 16/n marks can be present at a time (used like a stack)
• Can be used for filtering
• Collisions : false positives (More than 2 16 paths)
• Maintain IP address table
• Detect spoofing by associating marks with the IP
addresses
145
IP Traceback using Deterministic Edge Router Marking (DERM) By Shravan K Rayanchu

StackPi: Path Identification
Mechanism
R1 R2 R3 R4
m1 m1 m2 m1 m2 m3
m2 m3 m4
Problems:
• Routing changes
• Multiple paths give multiple stackpi marks
• Attacker can create many markings
•Legacy routers
•Attackers close to victim
•Not true for Mobile IP
146
IP Traceback using Deterministic Edge Router Marking (DERM) By Shravan K Rayanchu

s
Probabilistic Packet Marking
s
v 1
v 1 v 2
v 3
t
v 2
v 3
t
Router v i inscribes (v i-1
,v i
) onto a
packet with probability p.
Attack path
reconstruction
147

ICMP Traceback
• 當 攻 擊 發 生 的 時 候 , 受 害 者 可 以 藉 由 router
的 幫 忙 , 將 封 包 的 資 訊 放 入 一 個 特 定 格 式 的
ICMP 封 包 內 , 藉 由 router 間 的 傳 送 , 可 以
找 出 原 本 發 出 該 攻 擊 封 包 的 來 源 。 但 由 於
ICMP 封 包 在 網 路 上 的 功 能 特 殊 , 所 以 通 常
在 一 個 網 域 受 到 攻 擊 時 ,ICMP 封 包 就 會 被
隔 絕 , 而 只 要 在 這 個 路 徑 上 有 一 個 router 無
法 參 與 , 這 個 方 法 就 會 失 敗 ( 除 非 用 更 複 雜 的
key distribution 架 構 去 解 決 它 )。
148

ICMP-based traceback (cont.)
149

ICMP-based traceback (cont.)
• Router would generate an ICMP
traceback message for only one in
20000 packets.
• Intension-driven ICMP traceback:
• Decision module : select packet to be
generate message.
• Generation module:process chosen packet
and sends a new message
150

ICMP-based traceback (cont.)
151
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami

ICMP-based traceback
152
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami

ICMP Traceback
• For a very small probability (about 1 in
20,000), each router will send the
destination a new ICMP message indicating
the previous hop for that packet.
• Net traffic increase at endpoint is probably
acceptable.
iTrace it or not??
153

iTrace
• iTrace 在 Router 上 以 將 近 1/20,000 的 機 率 去 抽 樣 出 一 個 Packet, 對
Destination 傳 送 一 個 新 的 ICMP Traceback Message, 該 ICMP
Traceback Message 會 記 錄 上 一 個 Router 位 址 , 進 而 讓 研 究 人 員 可 以
逐 層 的 往 上 追 蹤 DDoS 攻 擊 來 源 。
S.F. Wu, L. Zhang, D. Massey, A. Mankin. “On design and evaluation 154of “intention-driven ICMP traceback,”
Proc. Computer Communications and Networks, 2001.

追 蹤 DRDoS Attack??
155

Improved ICMP Traceback
• For a very few packets (about 1 in 20,000),
each router will send the destination and
the source a new ICMP message indicating
the previous hop for that packet.
• Net traffic increase at endpoint is probably
acceptable.
156

追 蹤 DRDoS Attack??
157

Is that really me???
Service Request Packet
src: Victim
dst: www.yahoo.com
ISP
source
Traceback
Messages
How can I tell??
Victim
158

Intrusion Tolerance
• 目 前 技 術 要 能 要 完 全 阻 擋 DDoS 攻 擊 是 不
可 能 的 事 實 。Intrusion Tolerance 將 研 究
重 心 著 重 在 如 何 將 攻 擊 衝 擊 減 到 最 小 ,
並 且 能 提 供 一 定 的 頻 寬 品 質 。
• Quality of Service (QoS)
• Class-based Queuing
159

Intrusion Responses – QoS
• While setting up a solid security policy is
considered a preventive measure rather
than a QoS mitigation, a security policy
is a critical aspect of any network.
• Two dominant QoS techniques:
• (1)Class-Based Queuing (CBQ).
• (2)Rate limiting.
160

Implementing QoS using Class-
Based Queuing
161

Intrusion-Tolerant Architectures
162

Intrusion-Tolerant Architectures:Concepts and Design
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 163 Univ. of Lisboa,
Faculty of Sciences

Intrusion Tolerance concepts
Intrusion-Tolerant Architectures:Concepts and Design
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 164 Univ. of Lisboa,
Faculty of Sciences

AVI composite fault model
Intrusion-Tolerant Architectures:Concepts and Design
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 165 Univ. of Lisboa,
Faculty of Sciences

Intrusion-Tolerant Architectures:Concepts and Design
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 166 Univ. of Lisboa,
Faculty of Sciences

Intrusion-Tolerant Architectures:Concepts and Design
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 167 Univ. of Lisboa,
Faculty of Sciences

Intrusion-Tolerant Architectures:Concepts and Design
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 168 Univ. of Lisboa,
Faculty of Sciences

Autonomous Anti-DDoS Network V2.0(A2D2-2)
169

2.Architecture
170

3.Implementations:
171

3.1.Attack network
172

3.3.client:Real Client +Client Bandwidth
measurement tool
173

Test Scenarios(1):Baseline
• Data is collected for “normal” A2D2 network
activities where three RealClients are
accessing the RealServer.
• The network is not experiencing any DDoS
attack and no mitigation strategy is applied.
• This data is considered to be the A2D2
baseline traffic.
174

Test Scenarios(2):Short 1-minute
attack with no mitigation strategy
• DDoS attacks are launched for one
minute to show the effect of the attack
on the QoS of the RealClient.
• The attack protocols used are UDP,
TCP and ICMP.
175

Test Scenarios(3):Non-stop attack
with no mitigation strategy
• DDoS attacks are launched for the
entire duration of the test case to show
the effect of a non-stop attack on the
QoS of the RealClient.
• The attack protocols used are UDP,
TCP and ICMP.
176

Test Scenarios(4):Non-stop UDP
attack with security policy
• The security policy of A2D2 is applied.
• Only traffic that targets the active UDP and TCP
service ports at the RealServer is allowed to pass
through the firewall.
• The RealClient’s QoS is evaluated during a nonstop
UDP attack against the A2D2 network.
• The security policy is expected to stop most
attack tools that generate random destination
ports for their attack traffic.
177

Test Scenarios(5):Non-stop
ICMP attack with security policy
• Since A2D2 does not implement any
policy to block ICMP packets, a test run
is conducted to show the effect of a
non-stop ICMP packet even when the
firewall security policy script is applied.
• The hypothesis is that the QoS
experienced by RealClient will suffer.
178

Test Scenarios(6):Non-stop ICMP
attack with security policy and CBQ
• The goal of this test scenario is to show
the effectiveness of CBQ against
attacks that cannot be countered by
basic firewall policy.
179

Test Scenarios(7):Non-stop TCP-SYN attack
with security policy and CBQ
• This test scenario verifies that the A2D2
security policy and CBQ can also
mitigate attacks based on protocols
other than UDP and ICMP.
180

Test Scenarios(8):Non-stop TCP-SYN attack
with security policy, CBQ, and autonomous
multi- level rate- limiting
• This final test scenario demonstrates
the intrusion tolerance of the A2D2
network and how all mitigation
techniques collaborate with one another
within the A2D2 network.
181

Test Results
182

183

184

Analysis:QoS Experienced by A2D2 Client
During Experiment Normal Activity
185

QoS Experienced by A2D2 Client During 1-Minute
DDoS Attack
186

QoS Experienced by A2D2 Client During Non-Stop DDoS
Attack
187

QoS Experienced by A2D2 Client During Non-Stop UDP
DDoS Attack with A2D2 Firewall Policy Enabled
188

QoS Experienced by A2D2 Client During
Non-Stop ICMP DDoS Attack with A2D2 Firewall Policy Enabled
189

QoS Experienced by A2D2 Client During Non-Stop
ICMP DDoS Attack with A2D2 Firewall Policy & CBQ Enabled
190

QoS Experienced by A2D2 Client During Non-Stop
TCP-SYN DDoS Attack with A2D2 Firewall Policy & CBQ Enabled
191

QoS Experienced by A2D2 Client During Non-Stop TCP-SYN DDoS
Attack with A2D2 Firewall Policy, CBQ, Snort IDS, Autonomous Alert
Communication and Multi-level Rate-Limiting Enabled
192

結 論
Global
Impact
Sector
• Flash threats?
• Massive worm-driven
DDoS?
• Critical infrastructure
attacks?
Scope
Regional
Individual
Orgs.
Individual
PCs
• 1 st gen. viruses
• Individual DoS
• Web defacement
• email worms
• DDoS
• Credit hacking
• Blended threats
• Limited Warhol threats
• Worm-driven DDoS
• National credit hacking
• Infrastructure hacking
http://www.symantec.com
1990s 2000 2003 Time
193