DDoS攻擊分析 - 資通安全研發中心
DDoS攻擊分析 - 資通安全研發中心 DDoS攻擊分析 - 資通安全研發中心
DDoS 攻 擊 分 析 主 講 人 : 曾 龍 助 理 教 授 興 國 管 理 學 院 資 訊 科 學 系 助 理 教 授 TEL:(06)2870549 E-mail: drbt@pchome.com.tw btseng@mail.hku.edu.tw 1
- Page 2 and 3: 大 綱 • Introduction:DDoS 攻
- Page 4 and 5: DDoS 攻 擊 之 嚴 重 性 1. 200
- Page 6 and 7: DDoS 攻 擊 之 嚴 重 性 - CSI/
- Page 8 and 9: DDoS 攻 擊 之 嚴 重 性 - CSI/
- Page 10 and 11: DDoS 攻 擊 之 嚴 重 性 - CSI/
- Page 12 and 13: DDoS 攻 擊 之 嚴 重 性 - Just
- Page 14 and 15: DDoS 攻 擊 之 災 難 史 -Up to
- Page 16 and 17: DDoS 攻 擊 之 災 難 史 -1998
- Page 18 and 19: DDoS 攻 擊 之 災 難 史 -2000
- Page 20 and 21: DDoS 攻 擊 之 災 難 史 -2002
- Page 22 and 23: DDoS 攻 擊 之 災 難 史 -2004
- Page 24 and 25: Introduction -From DoS to DDoS •
- Page 26 and 27: DDoS 攻 擊 原 理 (1/2) Vern Pax
- Page 28 and 29: 攻 擊 分 類 • Bandwidth consu
- Page 30 and 31: 攻 擊 模 式 (2/4) • ICMP floo
- Page 32 and 33: 攻 擊 模 式 (4/4) • Smurf A
- Page 34 and 35: Worm drive DDoS attack 34
- Page 36 and 37: 紅 色 警 戒 CodeRed 病 蟲 (co
- Page 38 and 39: 紅 色 警 戒 CodeRed 病 蟲 •
- Page 40 and 41: 攻 擊 模 式 :SYN flood client s
- Page 42 and 43: Code Red I 攻 擊 原 理 • 掃
- Page 44 and 45: • 2001-08-04 12:44:15 203.248.127
- Page 46 and 47: CodeRed II 攻 擊 原 理 (cont.)
- Page 48 and 49: CodeRed II 攻 擊 原 理 (cont.)
- Page 50 and 51: Nimda 原 理 • 微 軟 IE 異
DDoS 攻 擊 分 析<br />
主 講 人 : 曾 龍 助 理 教 授<br />
興 國 管 理 學 院 資 訊 科 學 系 助 理 教 授<br />
TEL:(06)2870549<br />
E-mail: drbt@pchome.com.tw<br />
btseng@mail.hku.edu.tw<br />
1
大 綱<br />
• Introduction:DDoS 攻 擊 之 嚴 重 性<br />
• DDoS 攻 擊 之 災 難 史<br />
• DDoS 攻 擊 模 式 分 析 與 分 類 學<br />
• DDoS 防 禦 技 術<br />
• 結 論<br />
2
DDoS<br />
3
DDoS 攻 擊 之 嚴 重 性<br />
1. 2000 年 遭 受 DDoS 攻 擊 造 成 yahoo、eBay、CNN、Amazon 等 商<br />
業 網 站 癱 瘓 達 數 小 時 之 久 。<br />
2. 2003 年 SQL Slammer Worm 攻 擊 企 業 網 站 資 料 庫 , 造 成 美 洲 及 亞<br />
洲 地 區 的 網 路 嚴 重 癱 瘓 。<br />
3. 2004 年 1 月 底 Mydoom 病 毒 更 以 最 高 一 秒 鐘 感 染 1200 封 電 子 郵<br />
件 , 造 成 全 球 網 路 的 重 大 損 失 。<br />
網 路 安 全 事 件 層 出 不 窮 !!<br />
4
DDoS 攻 擊 之 嚴 重 性<br />
5
DDoS 攻 擊 之 嚴 重 性 -<br />
CSI/FBI 2003 Computer Crime and<br />
Security Survery<br />
6
DDoS 攻 擊 之 嚴 重 性 -<br />
CSI/FBI 2003 Computer Crime and<br />
Security Survery<br />
7
DDoS 攻 擊 之 嚴 重 性 -<br />
CSI/FBI 2003 Computer Crime and<br />
Security Survery<br />
8
DDoS 攻 擊 之 嚴 重 性 -<br />
CSI/FBI 2003 Computer Crime and<br />
Security Survery<br />
9
DDoS 攻 擊 之 嚴 重 性 -<br />
CSI/FBI 2003 Computer Crime and<br />
Security Survery<br />
10
DDoS 攻 擊 之 嚴 重 性 -<br />
House Homeland Security Committee<br />
• UC Berkeley 教 授 Shankar Sastry 於 2003 年 7 月<br />
18 日 在 美 國 House Homeland Security<br />
Committee 中 提 出 當 前 DDoS 及 Worm 攻 擊 是 主<br />
要 防 禦 的 任 務<br />
America House Homeland Security Committee Chair and Professor of Department, EE/CS, University of<br />
California Berkeley. The Importance of Research in Cybersecurity and What More Our Country Needs to Do.<br />
http://www.house.gov/thornberry/news_releases_2003.htm<br />
http://www.techlawjournal.com/home/newsbriefs/2003/07e.asp<br />
11
DDoS 攻 擊 之 嚴 重 性 -<br />
Justification and Requirements for a National DDoS<br />
Defense Technology Evaluation Facility, 2002 July<br />
Network Associates Laboratories for DARPA<br />
12
Attack Sophistication vs. Intruder<br />
Knowledge<br />
email propagation of malicious code<br />
DDoS attacks<br />
“stealth”/advanced scanning techniques<br />
increase in worms<br />
widespread attacks using NNTP to distribute attack<br />
sophisticated command<br />
& control<br />
widespread attacks on DNS infrastructure<br />
executable code attacks (against browsers)<br />
automated widespread attacks<br />
GUI intruder tools<br />
hijacking sessions<br />
Internet social engineering<br />
attacks<br />
packet spoofing<br />
automated probes/scans<br />
widespread<br />
denial-of-service<br />
attacks<br />
techniques to analyze<br />
code for vulnerabilities<br />
without source code<br />
anti-forensic techniques<br />
home users targeted<br />
distributed attack tools<br />
increase in wide-scale<br />
Trojan horse distribution<br />
Windows-based<br />
remote controllable<br />
Trojans (Back Orifice)<br />
Attack Sophistication<br />
Intruder Knowledge<br />
1990 2004<br />
Source: Special permission to reproduce the CERT ©CC<br />
13
DDoS 攻 擊 之 災 難 史 -Up to 1996<br />
• Point-to-point (single threaded)<br />
• SYN flood<br />
• Fragmented packet attacks<br />
• “Ping of Death”<br />
• “UDP kill”<br />
http://staff.washington.edu/dittrich/<br />
14
DDoS 攻 擊 之 災 難 史 -1997<br />
• Combined attacks<br />
• Targa<br />
• bonk, jolt, nestea, newtear, syndrop, teardrop,<br />
winnuke<br />
• Rape<br />
• teardrop v2, newtear, boink, bonk, frag, fucked,<br />
troll icmp, troll udp, nestea2, fusion2, peace<br />
keeper, arnudp, nos, nuclear, sping, pingodeth,<br />
smurf, smurf4, land, jolt, pepsi<br />
http://staff.washington.edu/dittrich/<br />
15
DDoS 攻 擊 之 災 難 史 -1998<br />
• fapi (May 1998)<br />
• UDP, TCP (SYN and ACK), ICMP Echo, "Smurf" extension<br />
• Runs on Windows and Unix<br />
• UDP comms<br />
• One client spoofs src, the other does not<br />
• Built-in shell feature<br />
• Not designed for large networks (
DDoS 攻 擊 之 災 難 史 -1999<br />
• More robust and functional tools<br />
• trin00, Stacheldraht, TFN, TFN2K<br />
• Multiple attacks (TCP SYN flood, TCP ACK<br />
flood, UDP flood, ICMP flood, Smurf…)<br />
• Added encryption to C&C<br />
• Covert channel<br />
• Shell features common<br />
• Auto-update<br />
http://staff.washington.edu/dittrich/<br />
17
DDoS 攻 擊 之 災 難 史 -2000<br />
• More floods (ip-proto-255, TCP NULL flood…)<br />
• Pre-convert IP addresses of 16,702 smurf amplifiers<br />
• Stacheldraht v1.666<br />
• Bundled into rootkits (tornkit includes stacheldraht)<br />
http://www.cert.org/incident_notes/IN-2000-10.html<br />
• Full control (multiple users, by nick, with talk and stats)<br />
• Omegav3<br />
• Use of IRC for C&C<br />
• Knight<br />
• Kaiten<br />
• IPv6 DDoS<br />
• 4to6 (doesn’t require IPv6 support)<br />
http://staff.washington.edu/dittrich/<br />
18
DDoS 攻 擊 之 災 難 史 -2001<br />
• Worms include DDoS features<br />
• Code Red (attacked www.whitehouse.gov)<br />
• Linux “lion” worm (TFN)<br />
• Added scanning, BNC, IRC channel hopping<br />
(“Blended threats” term coined in 1999 by AusCERT)<br />
• “Power” bot<br />
• Modified “Kaiten” bot<br />
• Include time synchronization (?!!)<br />
• Leaves worm<br />
http://staff.washington.edu/dittrich/<br />
19
DDoS 攻 擊 之 災 難 史 -2002<br />
• Distributed reflected attack tools<br />
• d7-pH-orgasm<br />
• drdos (reflects NBT, TCP SYN :80, ICMP)<br />
• Reflected DNS attacks, steathly (NVP<br />
protocol) and encoded covert channel comms,<br />
closed port back door<br />
• Honeynet Project Reverse Challenge binary<br />
http://project.honeynet.org/reverse/results/project/020601-<br />
Analysis-IP-Proto11-Backdoor.pdf<br />
20
DDoS 攻 擊 之 災 難 史 -2003<br />
• Slammer worm (effectively a DDoS on local<br />
infrastructure)<br />
• Windows RPC DCOM insertion vector for<br />
“blended threat” (CERT reports “thousands”)<br />
• More IPv6 DoS (requires IPv6 this time)<br />
• ipv6fuck, icmp6fuck<br />
21
DDoS 攻 擊 之 災 難 史 -2004<br />
• Mydoom worm<br />
• Unlike most e-mail worms, Mydoom.A was<br />
correctly identified by the anti-virus industry as a<br />
major worm from the beginning of the outbreak on<br />
Jan. 27, 2004.<br />
• May send out attachments<br />
in .bat, .cmd, .exe, .pif, .scr, or .zip. ZIPs are more<br />
likely to bypass the corporate gateway.<br />
• Attacks SCO.COM with a DDoS attack.<br />
22
DDoS 攻 擊 模 式 分 析<br />
•Traditional DDoS attakcks<br />
•Worm drive DDoS attacks<br />
23
Introduction –From DoS to DDoS<br />
• DoS<br />
• A single traffic originator.<br />
• Relatively flat and simple attack path and tool.<br />
• Can be defeated by tight security policies and measures<br />
e.g. Firewall and Vender specialized patches<br />
• DDoS<br />
• Multiple traffic generators (Demons).<br />
• Multi dimensional attack paths and tools.<br />
• The hardest security problem<br />
• limitation of current network measures and components<br />
• multiplicity of attack method<br />
• Invisibility of the operator to the hosts sites<br />
• Needs of Real-time, dynamic Detection & Defense mechanism<br />
24
Overall Steps In A DDoS Attack<br />
• Step one<br />
• Look for vulnerable systems to install handlers/masters/clients This<br />
is usually automated and takes advantage of well known system<br />
vulnerabilities<br />
• Using these vulnerabilities or a tool such as rootkit compromise and<br />
install the handlers<br />
• Step two<br />
• Look for vulnerable systems to install the agents/zombies/daemons.<br />
This is usually automated and takes advantage of well known<br />
system vulnerabilities<br />
• Using these vulnerabilities or a tool such as rootkit compromise and<br />
install the handlers<br />
• Step Three<br />
• Execute Attack<br />
SYMANTEC:The Crippling Effects of DDoS: How to Prevent Distributed 25 Denial of Service Attacks
DDoS 攻 擊 原 理 (1/2)<br />
Vern Paxson.” An Analysis of Using Reflectors for Distributed Denial-of-Service Attacks”,<br />
AT&T Center for Internet Research at ICSI International Computer Science Institute<br />
26<br />
Berkeley, CA USA, July 2001.
DRDoS 攻 擊 原 理 (2/2)<br />
Vern Paxson.” An Analysis of Using Reflectors for Distributed Denial-of-Service Attacks”,<br />
AT&T Center for Internet Research at ICSI International Computer Science Institute<br />
27<br />
Berkeley, CA USA, July 2001.
攻 擊 分 類<br />
• Bandwidth consumption: 阻 絕 服 務 攻 擊 , 通 常 是 攻 擊 者 發 送 大 量 的<br />
網 路 packet, 到 victim 的 伺 服 器 主 機 , 使 得 被 害 者 的 網 路 頻 寬 耗 盡 ,<br />
網 路 完 全 癱 瘓 。<br />
• Systetem resource starvation: 造 成 伺 服 器 主 機 在 同 時 間 內 所 需 要 服<br />
務 的 數 目 暴 增 , 超 出 原 本 伺 服 器 所 能 夠 服 務 的 上 限 。 此 類 攻 擊 均 能 夠<br />
造 成 伺 服 器 無 法 回 應 正 常 使 用 者 的 要 求 , 因 而 造 成 阻 絕 服 務 。<br />
• Exceptional condition exploitation:Attacker 設 計 一 些 有 缺 陷 的 應 用<br />
程 式 導 致 操 作 系 統 或 硬 體 裝 置 處 理 發 生 不 正 常 的 情 況 , 藉 由 以 緩 慢 的<br />
攻 擊 方 式 , 進 而 導 致 系 統 或 硬 體 的 運 作 能 力 降 低 。<br />
• Routing and Domain Name Service(DNS) manipulation: 基 本 的<br />
DoS 攻 擊 包 括 惡 意 的 操 控 路 由 表 , 導 致 網 路 流 量 不 正 常 的 被 引 導 到 其<br />
他 網 路 。Attacker 在 DNS Server 上 的 攻 擊 主 要 讓 Domain Name 對 應<br />
到 錯 誤 的 IP Address。<br />
Justification and Requirements for a National DDoS Defense Technology<br />
Evaluation Facility, 2002 July Network Associates Laboratories for DARPA<br />
Network Associates Laboratories Report #02-052 28
攻 擊 模 式 (1/4)<br />
• TCP connection: Three way handshake<br />
Client<br />
Client<br />
Client<br />
SYN<br />
ACK<br />
SYN/ACK<br />
Server<br />
Server<br />
Server<br />
• SYN flood attack:<br />
• 只 傳 送 SYN connection 請 求 , 對 Server 回 應 之<br />
SYN+ACK 不 給 予 回 應<br />
• Server 保 留 此 connection 請 求 狀 態 , 直 到 timeout<br />
• 發 送 大 量 SYN flood packets, 佔 用 Server connetion 請<br />
求 , 使 無 法 接 受 其 他 正 常 請 求 , 達 到 Denial-of-Service<br />
29
攻 擊 模 式 (2/4)<br />
• ICMP flood:<br />
• Attacker 傳 送 大 量 PING Data 給 Server<br />
(1) (2)<br />
A<br />
ICMP Echo Request<br />
B<br />
Attacker<br />
偽 造 Source IP Address = B<br />
ICMP Echo Reply<br />
B<br />
Echo Reply B<br />
Server<br />
30
攻 擊 模 式 (3/4)<br />
• UDP flood:<br />
• 發 送 一 連 串 或 大 量 的 UDP 封 包 到 Server,<br />
並 且 將 Source IP Address 偽 造 成 B , 因 此<br />
造 成 在 Server 與 B 之 間 的 Network Traffic 會<br />
持 續 不 停 的 存 在 , 達 到 Denial-of-Service<br />
的 目 的 。<br />
Attacker<br />
偽 造 Source IP Address = B<br />
B<br />
Echo Reply to Server<br />
Echo Reply to Client<br />
31<br />
Server
攻 擊 模 式 (4/4)<br />
• Smurf<br />
A<br />
• 將 source IP Address 放 入 Broadcast<br />
Address<br />
Attacker<br />
大 量 ICMP Echo request<br />
偽 造 Source IP Address = Broadcast Address<br />
B<br />
C<br />
Large traffic here<br />
32<br />
Server
DDoS Attack Tools<br />
33
Worm drive DDoS attack<br />
34
紅 色 警 戒 CodeRed 蠕 蟲<br />
• 2001 年 7 月 19 日 首 隻 「 紅 色 警 戒 」 蠕 蟲 (Code<br />
Red Worm) 出 現 後 , 就 不 斷 在 網 路 上 搜 尋 及<br />
感 染 有 安 全 漏 洞 的 電 腦 和 網 路 設 備 , 並 以 每 小<br />
時 感 染 超 過 五 千 台 電 腦 速 度 擴 散 中 。<br />
• 據 估 計 , 約 有 四 十 萬 台 IIS 伺 服 器 遭 到 「 紅 色 警<br />
戒 」 的 毒 手 , 全 球 損 失 則 在 40 億 美 元 左 右 。<br />
• 2001 年 8 月 , 受 CodeRed 影 響 , 台 灣 TAnet 對<br />
外 流 量 過 大 , 教 育 部 不 得 已 只 好 暫 時 關 閉 對 國<br />
外 連 線<br />
35
紅 色 警 戒 CodeRed 病 蟲 (cont.)<br />
• 國 內 網 路 環 境 在 此 一 事 件 中 亦 遭 受 嚴 重<br />
波 及 , 先 是 擁 有 伺 服 器 或 固 定 IP 位 址 的<br />
ADSL 用 戶 , 接 著 縣 市 政 府 也 遭 到 感 染 甚<br />
至 當 機 , 而 擁 有 高 速 頻 寬 的 ISP 業 者 災 情<br />
也 十 分 嚴 重 , 據 一 家 知 名 ISP 業 者 表 示 ,<br />
平 均 每 天 有 15 萬 至 20 萬 的 不 明 封 包 企 圖<br />
入 侵 其 企 業 網 站 。<br />
36
CodeRed 蔓 延 情 形<br />
http://www.caida.org<br />
37
紅 色 警 戒 CodeRed 病 蟲<br />
• 發 布 日 期 :2001/7/20 (2001/6/20)<br />
• 說 明 : 會 自 我 繁 殖 入 侵 系 統 的 惡 意 程 式<br />
碼 , 能 輕 易 入 侵 沒 有 修 補 過 的 IIS WEB<br />
伺 服 器 。<br />
38
感 染 系 統<br />
• Windows NT 4.0 和 Windows 2000 有 感 染 的 可<br />
能 。 如 果 安 裝 了 IIS 4.0 或 IIS 5.0 網 頁 伺 服 器 就<br />
更 危 險 。<br />
• Cisco CallManager, Unity Server, uOne,<br />
ICS7750, Building Broadband Service<br />
Manager (these systems run IIS)<br />
• Unpatched Cisco 600 series DSL router<br />
• Windows 3.1,Windows 95,98 與 Windows ME<br />
系 統 並 不 會 受 到 感 染 。<br />
• Windows XP 有 可 能 被 感 染<br />
39
攻 擊 模 式 :SYN flood<br />
client<br />
server<br />
Initiate<br />
connection<br />
SYN<br />
SYN, ACK<br />
Incomplete<br />
connection<br />
Complete<br />
connection<br />
ACK<br />
Complete<br />
connection<br />
40
攻 擊 模 式 :SYN flood (cont.)<br />
41
Code Red I 攻 擊 原 理<br />
• 掃 描 受 害 主 機 的 TCP 80 port 。<br />
• 攻 擊 者 送 出 一 個 設 計 過 的 HTTP GET 要 求 給 受<br />
害 主 機 , 試 圖 利 用 在 Microsoft Security 的<br />
Indexing Services 的 Buffer Overflow 弱 點 。<br />
• 如 果 成 功 了 ,Code Red Worm 就 開 始 在 受 害<br />
主 機 上 執 行 。 首 先 , 會 先 檢 查 C:\notworm 這<br />
個 檔 案 是 否 存 在 。 如 果 這 個 找 到 這 個 檔 案 , 則<br />
停 止 執 行 。<br />
42
Code Red I 攻 擊 過 程 (cont.)<br />
• 如 果 C:\notworm 這 個 檔 案 不 存 在 ,Code Red<br />
Worm 開 始 隨 機 的 掃 描 其 它 正 在 listen TCP port<br />
80 的 主 機 , 並 利 用 它 找 到 的 弱 點 入 侵 。<br />
• 如 果 受 害 主 機 的 預 設 語 言 是 英 文 , 則 在 100 個 掃<br />
描 Threads 開 始 後 , 而 且 在 受 感 染 一 段 時 間 後 ,<br />
受 害 主 機 上 的 所 有 網 頁 將 被 更 換 成 下 列 訊 息 :<br />
Hello ! Welcome to http://www.worm.com!<br />
Hacked By Chinese!<br />
• 如 果 受 害 主 機 的 預 設 語 言 不 是 英 文 ,Code Red<br />
Worm 則 會 繼 續 掃 描 但 不 會 更 換 網 頁 。<br />
43
• 2001-08-04 12:44:15 203.248.127.165 -<br />
140.116.163.234 80 GET /default.ida<br />
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN<br />
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN<br />
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN<br />
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN<br />
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN<br />
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN<br />
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN<br />
%u9090%u6858%ucbd3%u7801%u9090%u6858%u<br />
cbd3%u7801%u9090%u6858%ucbd3%u7801%u909<br />
0%u9090%u8190%u00c3%u0003%u8b00%u531b%<br />
u53ff%u0078%u0000%u00=a<br />
44
CodeRed II 攻 擊 原 理<br />
• 利 用 同 樣 的 漏 洞 與 同 樣 的 shellcode<br />
• 用 來 trigger BoF 的 是 "X", 之 前 版 本 用 "N"<br />
• 這 次 對 中 文 版 作 了 許 多 加 強 的 功 能 , 例 如 中 文<br />
版 Chinese (Taiwan) and Chinese (RPC) 會 產<br />
生 600 個 thread, 英 文 版 只 有 300 個<br />
• Sleep 潛 伏 期 - 非 中 文 語 系 作 業 系 統 一 天 , 中<br />
文 語 系 作 業 系 統 兩 天<br />
• 安 裝 後 門 。<br />
• check 時 間 ,year >= 2002 會 reboot,month<br />
>= 10 也 會 reboot<br />
45
CodeRed II 攻 擊 原 理 (cont.)<br />
• 2001-08-04 13:49:17 140.117.74.61 -<br />
140.116.163.234 80 GET /default.ida<br />
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX<br />
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX<br />
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX<br />
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX<br />
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX<br />
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX<br />
XXXXXXXXXXXXXX%u9090%u6858%ucbd3%u780<br />
1%u9090%u6858%ucbd3%u7801%u9090%u6858%<br />
ucbd3%u7801%u9090%u9090%u8190%u00c3%u00<br />
03%u8b00%u531b%u53ff%u0078%u0000%u00=a<br />
46
CodeRed II 攻 擊 原 理 (cont.)<br />
• copy cmd.exe to /scripts/root.exe<br />
• copy cmd.exe to /msadc/root.exe<br />
• 讓 系 統 default 執 行 explorer c:\ or d:\<br />
explorer.exe<br />
• 建 立 c:\ or d:\ 下 explorer.exe<br />
• 寫 入 c:\ or d:\ 下 explorer.exe<br />
• 處 理 c:\ 後 換 處 理 d:\<br />
47
CodeRed II 攻 擊 原 理 (cont.)<br />
• http://IpAddress/c/inetpub/scripts/root.ex<br />
e?/c+dir (if root.exe was still there)<br />
• http://IpAddress/c/winnt/system32/cmd.<br />
exe?/c+dir (Where dir could be any<br />
command an attacker would want to<br />
execute).<br />
48
Nimda 攻 擊 原 理 (cont.)<br />
• 主 要 是 透 過 Email 方 式 來 進 行 傳 播 及 感 染 , 利 用<br />
IIS 4.0/5.0 的 安 全 漏 洞 及 sadmind/IIS CodeRed<br />
II 遺 留 的 後 門 來 感 染 IIS 網 站 , 感 染 途 徑 比 「 紅<br />
色 警 戒 」 更 多 , 同 時 被 感 染 後 更 易 成 為 駭 客 攻 擊<br />
時 的 工 具 。<br />
• 主 要 感 染 Windows 95、Windows 98、<br />
Windows ME、 Windows NT、 Windows 2000<br />
Windows XP<br />
49
Nimda 原 理<br />
• 微 軟 IE 異 常 處 理 MIME head 漏 洞 。<br />
• Microsoft IIS Unicode 解 碼 漏 洞 。<br />
• Microsoft IIS 處 理 CGI 文 件 名 時 , 錯 誤<br />
地 兩 次 解 碼 。<br />
• "CodeRedII" 和 Sadmind/IIS 蠕 蟲 留 下 的<br />
後 門 程 序 。<br />
50
傳 播 途 徑<br />
• 透 過 Email 傳 染<br />
• 透 過 網 路 共 享 傳 染<br />
• 透 過 瀏 覽 網 頁 從 被 感 染 的 web server 傳 染<br />
• 利 用 “Microsoft IIS 4.0 / 5.0 directory<br />
traversal” 弱 點 , 主 動 掃 描 並 且 傳 染 給 未 經<br />
patch 的 IIS web server<br />
• 利 用 "Code Red II" and "sadmind/IIS" worms<br />
所 留 下 的 後 門 從 client 掃 描 及 感 染 web server<br />
51
感 染 病 徵<br />
• 郵 件 傳 播 時 的 特 徵 :<br />
- 定 義 MIME 格 式 為 "text/html" , 不 過<br />
內 容 並 沒 有 text, 所 以 信 件 並 無 內 容<br />
- 定 義 MIME 格 式 為 “audio/x-wav” , 但<br />
它 的 內 容 為 base64-encoded 的 附 擋 ,<br />
檔 名 為 "readme.exe" 的 可 執 行 檔<br />
52
感 染 病 徵 (cont.)<br />
• 被 感 染 系 統 特 徵 :<br />
- 在 C:\、D:\、E:\ 下 以 及 其 他 目 錄 下 有 很<br />
多 Admin.dll 文 件 。<br />
- 存 在 大 量 的 readme.eml 或<br />
readme.nws。<br />
- 存 在 大 量 的 riched20.dll。<br />
-C:\Windows\System 目 錄 下 存 有<br />
load.exe。<br />
53
感 染 病 徵 (cont.)<br />
- 在 Windows 臨 時 目 錄 下 存 在 很 多 名 為<br />
“MEP*.TMP.EXE” 的 文 件 。<br />
- C 磁 碟 被 設 為 共 享 , 共 享 名 為 C$。<br />
- guest 用 戶 被 開 啟 並 被 加 到 管 理 員 群<br />
組 。<br />
注 意 : 上 述 檔 案 大 都 被 設 置 了 隱 藏 屬 性<br />
54
SQL-Slammer Worm<br />
• 2003 年 1 月 25 日 起 , 全 球 網 際 網 路 開 始 遭 受 到<br />
SQL Slammer 網 蟲 的 威 脅 。<br />
• 主 以 Microsoft SQL Server 2000 及 Microsoft<br />
Desktop Engine(MSDE)2000 為 目 標 , 侵 入<br />
受 害 主 機 並 以 UDP port 1434 高 速 傳 送 封 包 溢<br />
滿 網 際 網 路 , 形 成 分 散 式 阻 斷 服 務 攻 擊<br />
(DDoS)。<br />
• 為 此 國 家 資 通 會 報 決 定 1 月 27 日 起 各 機 關 團<br />
體 , 正 式 對 外 發 佈 藍 色 警 戒 。<br />
55
受 害 災 情<br />
• 美 國 銀 行 超 過 13000 部 提 款 機 無 法 提 供 服<br />
務 。<br />
• 加 拿 大 皇 家 商 業 銀 行 TM 系 統 完 全 停 擺 。<br />
• 韓 國 電 信 業 者 KoreaTelecom 、Freetel、<br />
SK Telecom 等 ISP 網 路 服 務 幾 乎 完 全 癱<br />
瘓 。<br />
• 美 國 國 務 院 等 政 府 機 關 網 路 遭 受 猛 烈 攻<br />
擊 。<br />
56
受 害 災 情 (cont.)<br />
• 英 國 市 場 調 查 機 構 Mi2g 公 司 預 測 ,SQL<br />
Slammer Worm 網 蟲 出 現 的 第 5 天 , 全 世<br />
界 範 圍 內 的 生 産 損 失 額 達 到 9.5 億 美 元 ,<br />
最 高 甚 至 可 達 到 12 億 美 元 。 損 失 主 要 來<br />
自 網 域 伺 服 器 (DNS) 的 癱 瘓 、 銀 行 自<br />
動 提 款 機 中 斷 、 機 票 等 網 路 預 購 系 統 中<br />
斷 、 信 用 卡 收 付 款 系 統 故 障 等 損 失 所 造<br />
成 的 。<br />
57
SQL Slammer Worm 蔓 延 情 形<br />
58
病 毒 原 理<br />
• 利 用 SQL Server 解 析 服 務 (Resolution<br />
Service) 緩 衝 區 溢 出 (buffer overflow) 的<br />
弱 點 而 允 許 在 SQL Server 上 執 行 任 意 程<br />
式 碼<br />
• 利 用 SQL Server 解 析 服 務 (Resolution<br />
Service) 的 弱 點 使 用 keep-alive 功 能 對 其<br />
它 主 機 展 開 阻 斷 服 務 (denial of service)<br />
攻 擊<br />
59
病 毒 原 理<br />
• 攻 擊 者 可 以 偽 造 來 源 IP 為 其 中 一 台 區 域<br />
SQL Server, 並 且 傳 送 封 包 給 鄰 近 的<br />
SQL Server, 造 成 兩 台 SQL Server 不 停<br />
的 交 換 封 包 , 降 低 受 害 SQL Server 執 行<br />
效 率 並 消 耗 大 量 的 系 統 及 網 路 頻 寬 資 源<br />
60
病 毒 特 性<br />
• 只 要 單 一 區 域 網 路 有 一 台 主 機 中 毒 , 就 會 不 斷<br />
發 出 大 量 封 包 佔 據 整 個 區 域 網 路 的 頻 寬 , 根 據<br />
實 例 , 一 個 頻 寬 為 100Mb 的 區 域 網 路 內 只 要 有<br />
一 台 主 機 中 毒 將 會 佔 據 60~80Mb 的 頻 寬 。 這 將<br />
會 造 成 其 他 主 機 網 路 連 線 的 困 難 。<br />
• 病 毒 並 不 侵 入 電 腦 硬 碟 , 而 是 存 於 記 憶 體 中 ,<br />
因 此 中 毒 主 機 只 要 離 線 修 補 後 再 重 新 開 機 就 具<br />
有 免 疫 能 力 。<br />
• 如 無 需 要 , 將 解 析 服 務 移 除 安 裝 。<br />
61
MSBlast<br />
• 趨 勢 科 技 指 出 ,2003/8/13 已 知 的 全 球 受<br />
害 電 腦 超 過 一 百 萬 台 ; 而 國 內 有 二 百 家<br />
大 型 企 業 和 二 千 家 小 型 企 業 的 通 報 , 初<br />
步 估 計 全 台 約 有 五 萬 台 電 腦 受 害<br />
• 病 毒 會 自 行 複 製 , 然 後 再 透 過 網 路 搜 尋<br />
其 他 可 攻 擊 的 電 腦 大 量 散 播 , 並 造 成 電<br />
腦 系 統 不 穩 定 , 有 的 案 例 甚 至 造 成 當 機<br />
( 例 如 重 新 開 機 )<br />
62
DCOM RPC Vulnerability<br />
RPC 是 Windows 所 使 用 的 通 訊 協 定 。 可 讓 電 腦<br />
上 所 執 行 的 程 式 能 夠 執 行 遠 端 電 腦 上 的 程 式 碼 。<br />
RPC 在 TCP/IP 上 處 理 訊 息 交 換 的 部 份 有 一 個 弱<br />
點 , 其 為 不 當 處 理 格 式 錯 誤 的 訊 息 。 此 弱 點 會 影<br />
響 使 用 RPC 的 分 散 式 元 件 物 件 模 型 (DCOM) 介<br />
面 並 接 聽 RPC 啟 用 的 連 接 埠 。 此 介 面 負 責 處 理 用<br />
戶 端 電 腦 傳 送 到 伺 服 器 的 DCOM 物 件 啟 動 要 求 。<br />
攻 擊 者 能 夠 利 用 此 弱 點 在 受 影 響 的 系 統 上 使 用 本<br />
機 系 統 權 限 執 行 程 式 碼 並 進 行 任 何 動 作 。 攻 擊 者<br />
可 以 通 過 135(UDP/TCP)、137/UDP、138/UD<br />
P、139/TCP、445(UDP/TCP)、593/TCP 埠 進 行<br />
63<br />
攻 擊 。
MSBlast 攻 擊 過 程<br />
MSBlaster BufferOverrFlow In<br />
RPC Interface<br />
TCP Port 135<br />
Get msblast.exe<br />
Listening TFTP Port 69<br />
Open Backdoor TCP Port 4444<br />
利 用 "BufferOverrFlow In RPC Interface" 弱 點 透 過 TCP Port 135<br />
進 行 攻 擊 , 取 得 遠 方 電 腦 控 制 權 , 並 傳 送 MSBLAST.EXE 檔 案 到 %Sy<br />
stem% 目 錄 中 , 並 透 過 受 感 染 電 腦 系 統 中 的 69 與 4444 連 結 埠 去 攻 擊<br />
感 染 更 多 的 電 腦 。<br />
64
在 封 包 內 容 有 以 下 字 串 特 徵 :<br />
I just want to say LOVE YOU SAN!! billy gates why<br />
do you make this possible ? Stop making money a<br />
nd fix your software!!<br />
65
Mydoom<br />
• Mydoom 是 一 種 大 量 傳 送 郵 件 的 蠕 蟲 。<br />
• 通 常 以 .bat、.cmd、.exe、.pif、.scr 或 .zip<br />
的 副 檔 名 格 式 夾 帶 在 信 件 中<br />
• 透 過 Kazza 軟 體 的 點 對 點 檔 案 網 路 分 享 功 能<br />
於 網 路 上 散 播 。<br />
66
簡 介 (cont.)<br />
• 病 毒 從 清 單 中 選 取 e-mail 的 主 旨 、 信 件 內<br />
容 及 附 加 檔 案 的 名 稱 來 完 成 一 封 完 整 的<br />
電 子 郵 件 並 大 量 散 播 。<br />
• 病 毒 會 假 造 寄 件 者 欄 位 的 名 稱 , 所 以 寄<br />
件 者 所 顯 示 的 使 用 者 並 不 一 定 真 的 有 中<br />
毒 。<br />
67
感 染 病 徵 (cont.)<br />
• 產 生 shimgapi.dll 檔 案 , 在 系 統 中 開 啟<br />
TCP port 3127-3198 當 成 後 門 。 駭 客 利<br />
用 此 後 門 作 為 Proxy 來 取 得 網 路 上 的 其<br />
它 資 源 , 並 能 遙 控 電 腦 並 執 行 任 意 檔<br />
案 。<br />
68
感 染 病 徵 (cont.)<br />
• 蠕 蟲 大 小 :22,528 bytes<br />
• 受 影 響 之 系 統 :Windows 2000, Windows 95,<br />
Windows 98, Windows Me, Windows NT,<br />
Windows Server 2003, Windows XP<br />
69
病 毒 特 徵 (cont.)<br />
• 使 用 阻 絕 服 務 攻 擊 (DoS) 攻 擊 某 商 業 網 站<br />
www.sco.com。<br />
• 檢 查 系 統 日 期 , 如 果 中 毒 電 腦 的 系 統 日 期 是<br />
2004 年 2 月 1 日 以 後 的 日 期 ( 包 括 2 月 1 日 當 天 ),<br />
病 毒 便 會 攻 擊 該 網 站 。 2 月 12 日 後 將 停 止 散<br />
佈 。 但 仍 可 利 用 後 門 進 入 該 主 機 。<br />
• 此 病 毒 會 忽 略 以 某 些 特 定 結 尾 的 網 址 ( 如 .edu)<br />
以 避 免 被 追 查 。<br />
70
病 毒 特 徵 (cont.)<br />
• 當 Mydoom 在 傳 送 電 子 郵 件 時 , 它 會 避 免 將 郵 件 傳 送<br />
到 含 有 下 列 字 串 的 任 何 網 域 :<br />
• hotmail<br />
• .gov<br />
• unix<br />
• kernel<br />
• sendmail<br />
• pgp<br />
• ….<br />
71
病 毒 特 徵 (cont.)<br />
• 當 傳 送 電 子 郵 件 時 , 它 會 避 免 將 郵 件 傳 送 到 符<br />
合 下 列 任 何 字 串 的 帳 戶 :<br />
• root<br />
• webmaster<br />
• anyone<br />
• ….<br />
• 或 是 含 有 下 列 任 何 字 串 的 帳 戶 :<br />
• admin<br />
• support<br />
• accoun<br />
• ….<br />
72
自 我 檢 查 是 否 中 毒<br />
• 點 選 開 始 > 執 行 , 輸 入 CMD 然 後 按 Enter, 輸 入 netstat<br />
檢 查 是 否 開 啟 TCP 埠 3127 到 3198 之 任 一 埠 , 如 果 有 的<br />
話 , 即 可 能 受 到 感 染 。<br />
• 點 選 開 始 > 搜 尋 , 尋 找 SHIMGAPI.DLL 之 檔 案 , 如 果 存<br />
在 此 檔 案 , 即 可 能 受 到 感 染 。<br />
73
Port<br />
3127<br />
已 開 啟<br />
74
75<br />
後 門 檔 案
DDoS 攻 擊 模 式 分 類 學<br />
•Taxonomy of DDoS Attack Mechanisms<br />
•Taxonomy of DDoS Defense Mechanisms<br />
76
A Taxnomy of DDoS Attack and<br />
DDoS Defense Mechanisms<br />
77
Preventive mechanisms<br />
• Classifications of preventive<br />
mechanisms<br />
• Attack prevention mechanism<br />
• Denial-of-service prevention mechanism<br />
78
Attack prevention mechanism<br />
• Modify the system configuration to eliminate the possibility<br />
of a DDoS attack<br />
• System security mechanism<br />
• Increase the overall security of the system<br />
• Guard against illegitimate accesses to the machine<br />
• Remove application bugs<br />
• Update protocol installations to prevent intrusions<br />
and misuse of the system.<br />
• Protocol security mechanism<br />
• Address the problem of bad protocol design<br />
79
Taxonomy of DDoS Attack<br />
Mechanisms<br />
80
Taxonomy of DDoS defense<br />
mechanisms<br />
• Classification by activity level<br />
• Preventive<br />
• Reactive<br />
• Classification by deployment location<br />
81
Taxonomy of DDoS Defense<br />
Mechanisms<br />
82
Reactive mechanisms<br />
• Classification based on detection strategy<br />
• pattern detection<br />
• anomaly detection<br />
• hybrid attack detection<br />
• third-party attack detection<br />
• Classification based on response strategy<br />
• agent identification<br />
• rate-limiting<br />
• filtering<br />
• reconfiguration<br />
• Classification based on cooperation degree<br />
• autonomous<br />
• cooperative<br />
• independent<br />
83
Classification by detection strategy<br />
Mechanisms with pattern attack<br />
detection(1)<br />
• Strategy<br />
• Store the signatures of known attacks in a<br />
database<br />
• Update the database with new attack signatures<br />
occasionally<br />
• Disadvantage<br />
• Only can detect known attacks<br />
• Helpless against new attacks or even slight<br />
variations of old attacks that cannot be matched to<br />
the stored signature.<br />
84
Classification by detection strategy<br />
Mechanisms with anomaly attack<br />
detection(2)<br />
• Strategy<br />
• Have a model of normal system behavior<br />
• Periodically compare with the models to detect anomalies<br />
• Anomalies are detected when the current system state<br />
differs from the model by a certain threshold<br />
• Advantage<br />
• Can detect unknown attacks<br />
• Disadvantages<br />
• Difficult to set proper threshold in detection<br />
• Model update makes the detection mechanism vulnerable<br />
85
Classification by detection strategy<br />
Mechanisms with hybrid attack<br />
detection(3)<br />
• Strategy<br />
• Combine the pattern-based and anomaly-based<br />
detection<br />
• Use stored data to devise new attack signatures<br />
and update the database<br />
• Disadvantages<br />
• If these systems are automated, they must be<br />
careful when extracting a signature from a<br />
detected attack, otherwise the system itself can<br />
become a DoS tool if normal activity be detected<br />
as an attack signature.<br />
86
Classification by detection strategy<br />
Mechanisms with third-party attack<br />
detection(4)<br />
• Strategy<br />
• Rely on an external message that signals<br />
the occurrence of the attack<br />
• Aim to relieve the impact of DoS and<br />
minimize collateral damage<br />
• Examples including traceback<br />
mechanisms<br />
87
Classification by response strategy<br />
Agent identification mechanisms(1)<br />
• Strategy<br />
• Provide the victim with information about<br />
the identity or the machines that are<br />
performing the attack<br />
• This information can then be combined<br />
with other response approaches to<br />
alleviate the impact of the attack<br />
88
Classification by response strategy<br />
Rate-limiting mechanisms(2)<br />
• Strategy<br />
• Impose a rate limit on a stream that has been<br />
characterized as malicious by the detection<br />
mechanism.<br />
• Usually deployed when the detection mechanism has<br />
a high level of false positives or cannot precisely<br />
characterize the attack stream<br />
• Disadvantage: high scale attacks be effective<br />
89
Classification by response strategy<br />
Filtering mechanisms(3)<br />
• Strategy<br />
• Use the characterization provided by a detection<br />
mechanism to filter out the attack stream<br />
completely.<br />
• Disadvantages<br />
• Run the risk of accidentally denying service to<br />
legitimate traffic<br />
• Clever attackers might leverage them as DoS tool.<br />
90
Classification by response strategy<br />
Reconfiguration mechanisms(4)<br />
• Strategy<br />
• Change the topology of the victim or the<br />
intermediate network to either add more<br />
resources to the victim or to isolate the<br />
attack machines.<br />
91
Classification by cooperation degree<br />
Autonomous mechanisms(1)<br />
• Perform independent attack detection<br />
and response<br />
• Usually deployed at a single point and<br />
act locally<br />
• Example<br />
• Firewalls<br />
• Intrusion detection systems<br />
92
Classification by response strategy<br />
Cooperative mechanisms(2)<br />
• Capable of autonomous detection and<br />
response<br />
• Can achieve significantly better<br />
performance through cooperation<br />
• Detect DDoS attack by observing<br />
congestion in a router’s buffer,<br />
characterize the traffic creating the<br />
congestion.<br />
93
Classification by response strategy<br />
Independent mechanisms(3)<br />
• Rely on other entities either for attack<br />
detection or for efficient response<br />
• Cannot operate autonomously<br />
94
Classification by deployment<br />
location<br />
• Victim-Network mechanisms<br />
• Intermediate-Network mechanisms<br />
• Source-Network mechanisms<br />
95
DDoS Attack<br />
Bandwidth<br />
Depletion<br />
Resource<br />
Depletion<br />
Flood<br />
Attack<br />
Amplification<br />
Attack<br />
Protocol Exploit<br />
Attack<br />
Malformed<br />
Packet Attack<br />
UDP<br />
ICMP<br />
Smurf<br />
Attack<br />
Fraggle<br />
Attack<br />
TCP<br />
SYN<br />
Attack<br />
PUSH +<br />
ACK<br />
Attack<br />
IP Address<br />
Attack<br />
IP Packet<br />
Options<br />
Attack<br />
Random<br />
Port<br />
Attack<br />
Same<br />
Port<br />
Attack<br />
Spoof<br />
Source IP<br />
Address?<br />
Spoof<br />
Source IP<br />
Address?<br />
Spoof<br />
Source IP<br />
Address ?<br />
Spoof<br />
So urce IP<br />
Address?<br />
Spoof<br />
Source IP<br />
Address?<br />
Spoof<br />
Source IP<br />
Address?<br />
Spoof<br />
Source IP<br />
Address?<br />
Direct<br />
Attack<br />
Loop<br />
Attack<br />
96
DDoS Software<br />
Tool<br />
Agent Setup<br />
Attack Network<br />
Communication<br />
OS Supported<br />
Installatio<br />
Hide with<br />
Rootki<br />
Protoco<br />
Encryptio<br />
Agent<br />
A ctivation<br />
Method<br />
Unix<br />
Linu<br />
Solari<br />
Window<br />
Active<br />
Passiv<br />
Yes<br />
No<br />
TC<br />
UDP ICMP<br />
Bugged<br />
Website<br />
Corrupted<br />
File<br />
Agent -<br />
Handler<br />
IRC<br />
Base<br />
Actively<br />
Poll<br />
Lie &<br />
Wait<br />
Softwar<br />
Backdoo<br />
Vulnerabilit<br />
Trojan<br />
Horse<br />
Program<br />
Buffer<br />
Overflo<br />
Yes,<br />
Private or<br />
Secret<br />
Chann<br />
No,<br />
Public<br />
Chann<br />
Client-<br />
Handle<br />
Agent -<br />
Handler<br />
Non<br />
97 Characteristics of DDoS Software Tools
98<br />
Mitigate/Stop<br />
Attacks<br />
DDoS<br />
Countermeasur<br />
Detec/Preven<br />
Potential<br />
k<br />
Deflect<br />
Attacks<br />
Detect/Prevent<br />
Secondary<br />
Victims<br />
Dynamic<br />
Pricing<br />
Install<br />
Softwar<br />
Patche<br />
Post-Attack<br />
Forensic<br />
Network<br />
Service<br />
Providers<br />
Individual<br />
Users<br />
MIB<br />
Statistics<br />
Egress<br />
Filtering<br />
Drop<br />
Request<br />
Throttling<br />
Load<br />
Balancin<br />
Honeypot<br />
Study Attack<br />
Shadow Real<br />
Network<br />
Resource<br />
Traffic<br />
Pattern<br />
Analysis<br />
Event<br />
Logs<br />
Packet<br />
Tracebac<br />
Detect<br />
Neutraliz<br />
Handler<br />
Built - in<br />
Defense
4.DDoS 防 禦 技 術<br />
•General Prevention<br />
•IP Traceback<br />
•Tolerance<br />
99
General Prevention<br />
• User and System Administrator Actions<br />
• 建 議 安 裝 個 人 式 的 防 火 牆 軟 體 , 幫 助 系 統 抵 禦 阻 絕<br />
大 部 分 的 網 路 攻 擊 。<br />
• 定 期 查 看 系 統 Log File 是 否 有 無 可 疑 的 紀 錄 。<br />
• 使 用 可 得 的 工 具 定 期 查 看 系 統 、 伺 服 器 等 , 確 定 無<br />
被 植 入 可 疑 程 式 對 使 用 者 帳 戶 資 料 庫 存 取 等 未 知 的<br />
改 變 。<br />
• 避 免 下 載 來 路 不 明 的 軟 體 , 以 避 免 被 植 入 後 門 或 感<br />
染 病 毒 。<br />
• 定 期 注 意 CERT、SANS、TruSecure (ICSA) 及 相 關<br />
防 毒 公 司 所 發 佈 之<br />
100
General Prevention -<br />
netstat command<br />
•Stacheldraht: attacker master<br />
101
General Prevention –<br />
lsof –c mserv<br />
•Stacheldraht: attacker master<br />
102
General Prevention –<br />
Find_ddos (FBI)<br />
103
General Prevention<br />
• Local Network Actions<br />
• Router 在 連 接 外 部 Internet 的 Interface 應 設<br />
定 條 件 過 濾 的 機 制 。<br />
• 關 閉 Router 直 接 Broadcast 的 能 力 。<br />
• RFC1918 明 確 定 義 Private IP Addresses 無<br />
法 在 Internet 進 行 路 由 。<br />
104
General Prevention –<br />
Ingress Filtering<br />
• Ingress Filtering<br />
• Router 上 對 封 包 往 外 傳 送 的 來 源 位 址 做 設 限 , 由<br />
某 些 interface 經 過 的 封 包 作 過 濾 。<br />
• 可 在 流 量 小 且 單 純 的 edge router 上 設 定 , 因 為<br />
在 edge router 上 只 負 責 少 數 網 域 的 封 包 , 可 以<br />
很 清 楚 很 快 速 的 作 檢 查 。 如 是 在 流 量 大 又 負 責 數<br />
個 網 域 轉 傳 的 router 上 , 此 法 很 明 顯 的 會 讓<br />
router 的 performance 降 下 來 。 雖 然 此 法 不 會 造<br />
成 其 他 不 必 要 的 網 路 流 量 , 但 卻 會 造 成 效 能 下<br />
降 , 更 重 要 的 是 會 引 響 到 幾 個 需 要 用 到 source IP<br />
spoof 技 巧 才 能 完 成 的 服 務 , 例 如 : Mobile IP。<br />
105
Ingress/egress filtering<br />
boosting source accountability<br />
Net: 169.237.6.*<br />
207.12.1.56<br />
filtering<br />
policies<br />
drop it or not??<br />
Is the source IP address of this incoming IP packet<br />
valid from this particular network interface???<br />
1. Static configuration<br />
2. Routing table reverse look-up<br />
3. Routing information analysis (BGP/OSPF/RIP)<br />
106
How to find “Sources” of Attacks?<br />
• IP traceback<br />
• Finding the real IP of an attacker or the IP<br />
of the router that is closest to the attacker.<br />
• Two general approaches:<br />
• Reactive approaches: tracebacks are initiated<br />
in response to attacks.<br />
• Proactive approaches: traceback data are<br />
recorded so that tracebacks can be done later.<br />
107
Current IP traceback approaches<br />
• Reative:<br />
• Link test<br />
• Input debugging<br />
• Controlled flooding<br />
• Proactive:<br />
• Logging<br />
• Messaging<br />
• Marking<br />
108
Current IP traceback approaches<br />
(cont.)<br />
• The key requirements for IP traceback<br />
methods<br />
• Compatibility :<br />
• Existing protocol<br />
• Existing router<br />
• Network infrastructure<br />
• Overhead :<br />
• Network traffic<br />
• Time<br />
• Resources<br />
109
Link Testing<br />
• 從 最 接 近 受 害 者 的 router 開 始 , 循 序 向<br />
上 檢 查 所 有 的 連 線 , 找 到 內 含 攻 擊 的 封<br />
包 。<br />
• 分 別 為 input debugging 和 controlled<br />
flooding。<br />
• 此 方 式 僅 假 設 為 在 找 到 真 正 的 攻 擊 者 之<br />
前 , 這 個 攻 擊 者 必 須 仍 在 持 續 攻 擊 中 。<br />
110
Link testing<br />
111<br />
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami
Link testing – Input debugging<br />
• To determine the attack traffic’s specific<br />
characteristics.<br />
• Use 『 Attack signature 』 to determine<br />
the incoming link on the router.<br />
• To apply it until the traffic’s source is<br />
identified—or the trace leaves the<br />
current ISP’s border.<br />
112
input debugging<br />
113<br />
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami
Link testing-controlled flooding<br />
• Using a map of the known Internet<br />
topology around the victim<br />
• Flooding each incoming network link on<br />
the routers<br />
• Observing how this affects the attack<br />
traffic’s intensity<br />
• Deducing which link carries the attack<br />
traffic.<br />
114
A&D of controlled flooding.<br />
115<br />
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami
Logging<br />
• 在 重 要 的 router 上 面 記 錄 封 包 的 資 訊 ,<br />
在 事 後 使 用 data mining 的 方 式 來 得 知<br />
封 包 經 過 哪 些 主 機 。 雖 然 這 個 方 法 可 以<br />
在 事 後 判 斷 出 攻 擊 者 的 所 在 , 但 是 它 所<br />
需 要 的 資 源 與 設 備 非 常 的 龐 大 , 而 且 幾<br />
乎 沒 有 機 構 使 用 它 。<br />
116
Challenges to Logging<br />
• Attack path reconstruction is difficult<br />
• Packet may be transformed as it moves<br />
through the network<br />
• Full packet storage is problematic<br />
• Memory requirements are prohibitive at<br />
high line speeds (OC-192 is ~10Mpkt/sec)<br />
• Extensive packet logs are a privacy risk<br />
• Traffic repositories may aid eavesdroppers<br />
117
Logging (cont.)<br />
118
Logging (cont.)<br />
• Alex Snoeren: SPIE<br />
• Source Path Isolation engine<br />
• Storing only a hash digest<br />
• Tatsuya Baba and Shigeyuki Matsuda<br />
• An overlay network of sensors:<br />
• detect potential attack traffic<br />
• Tracing agents (tracers) log the attack<br />
packets on request<br />
• Managing agents<br />
119
Logging<br />
120<br />
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami
Solution: Packet Digesting<br />
• Record only invariant packet content<br />
• Mask dynamic fields (TTL, checksum, etc.)<br />
• Store information required to invert packet<br />
transformations at performing router<br />
• Compute packet digests instead<br />
• Use hash function to compute small digest<br />
• Store probabilistically in Bloom filters<br />
• Impossible to retrieve stored packets<br />
121
122
Invariant Content<br />
28<br />
bytes<br />
Ver<br />
TTL<br />
HLen<br />
Identification<br />
TOS<br />
Protocol<br />
D<br />
F<br />
Source Address<br />
Destination Address<br />
Options<br />
M<br />
F<br />
Total Length<br />
Fragment Offset<br />
Checksum<br />
First 8 bytes of Payload<br />
Remainder of Payload<br />
123
Bloom Filters<br />
• Fixed structure size<br />
• Uses 2 n bit array<br />
n bits<br />
1<br />
• Initialized to zeros<br />
H 1 (P)<br />
1<br />
• Insertion is easy<br />
H(P)<br />
2 • Use n-bit digest as<br />
indices into bit array<br />
• Mitigate collisions by<br />
using multiple digests<br />
• Variable capacity<br />
• Easy to adjust<br />
• Page when full<br />
H 3 (P)<br />
. . .<br />
H k (P)<br />
1<br />
1<br />
2 n<br />
bits<br />
124
BBN Technologies-SPIE Architecture<br />
125
Hardware Implementation<br />
126
Pushback<br />
• 將 所 有 的 流 量 分 成 Good Traffic、Bad Traffic 與<br />
Poor Traffic。<br />
• 當 一 個 router 開 始 丟 棄 (drop) 封 包 的 時 候 , 即<br />
代 表 這 個 link 開 始 擁 塞 , 此 時 就 在 丟 棄 的 封 包 中<br />
檢 查 是 否 有 攻 擊 的 封 包 包 含 在 內 。 當 發 現 有 可 疑<br />
的 封 包 時 就 找 出 其 上 一 層 由 哪 一 部 Router(A) 送<br />
出 , 進 而 由 Router 送 一 個 控 制 訊 息 給 Router(A)<br />
去 控 制 此 攻 擊 連 線 的 流 量 。<br />
• 若 Router 無 法 精 確 地 辨 斷 各 個 流 量 , 其 他 正 常<br />
的 流 量 也 很 可 能 被 引 響 到 , 這 種 稱 為 Poor<br />
traffic。<br />
127
Implementing Pushback: Router-Based<br />
Defense Against DDoS Attacks<br />
128
Implementing Pushback: Router-Based<br />
Defense Against DDoS Attacks<br />
DDoS Attacks and Pushback Steven M. Bellovin<br />
http://www.research.att.com/˜ smb<br />
129
Implementing Pushback: Router-Based<br />
Defense Against DDoS Attacks<br />
DDoS Attacks and Pushback Steven M. Bellovin<br />
http://www.research.att.com/˜ smb<br />
130
PPM<br />
• Router 在 固 定 的 機 率 ρ 下 , 將 自 己 IP Address<br />
分 段 放 入 IP Header 中 的 ID 欄 位 。 並 將 16 bit<br />
的 ID 欄 位 分 為 3 bit 的 offset,8 bit 為 start 和<br />
end 欄 位 和 5 bit 的 distance 欄 位 。<br />
• 如 router 決 定 在 這 個 packet 上 面 記 下 自 己 的 IP<br />
Address, 則 便 將 distance 設 為 零 。 若 這 個 封 包<br />
的 distance 已 經 為 零 , 則 代 表 這 個 封 包 已 經 被<br />
mark 過 了 ,router 就 把 它 的 IP Address 寫 進 去<br />
end 這 個 欄 位 。 而 每 個 這 個 封 包 經 過 一 個<br />
router, 每 個 router 就 幫 他 在 distance 這 個 欄 位<br />
加 1。<br />
131
PPM (cont.)<br />
132
Probabilistic Packet Marking<br />
(PPM)<br />
• 16 bit ID field is used for marking<br />
• Each router marks the packet with a probability P<br />
• Edge id (64 bit) is fragmented<br />
• ID contains edge fragment, offset and distance field<br />
Problem:<br />
• Large number of packets<br />
• Less packets from routers near the attacker<br />
• No router may mark - attacker can send spoofed<br />
marks<br />
• Fragment reassembly during DDoS<br />
• Not more than 10 attackers at a particular distance<br />
133<br />
IP Traceback using Deterministic Edge Router Marking (DERM) By Shravan K Rayanchu
Probabilistic Packet Marking<br />
• Probabilistic packet marking (PPM)<br />
• Probabilistically inscribe its local path information<br />
• Use constant space in the packet header<br />
• Reconstruct the attack path with high probability<br />
• Merits<br />
• Efficiency and implementability<br />
• Weaknesses<br />
• Marking field spoofing problem<br />
134
s’<br />
s<br />
Marking Field Spoofing on PPM<br />
Attack path<br />
v 1 v 2<br />
Forged path<br />
v 3<br />
t<br />
s<br />
s’<br />
v 1<br />
v 2<br />
v 3<br />
t<br />
An attacker can use fake marking to forge a path<br />
that is equally likely as the true attack path.<br />
Reconstructed<br />
attack path<br />
135
Effectiveness of PPM<br />
Analysis under marking field spoofing:<br />
• Single source attacks<br />
• Effective localization to within 2~5 sites.<br />
• Distributed attacks<br />
• Uncertainty amplification on DDoS.<br />
• Further information<br />
Uncertainty Factor Distribution<br />
Park and Lee, Tech. Rep. CSD-00-013,<br />
Purdue Univ, which was presented at<br />
IEEE INFOCOM 2001.<br />
http://www.cs.purdue.edu/nsl/ppm-tech.ps<br />
136<br />
Uncertainty Amplification on<br />
DDoS Attacks
Packet marking (cont.)<br />
137
Summary of DoS Attack Study<br />
Resourc<br />
Ingress<br />
e<br />
Filtering<br />
Manage<br />
Traffic<br />
Analysis<br />
ICMP<br />
Messages<br />
PPM<br />
DPF<br />
Cost X O X ∆ ∆ ∆<br />
Deployment O ∆ ∆ ∆ O O<br />
Traceback X X O O O O<br />
Protection ∆ ∆ X X X O<br />
Scalability X X X X X O<br />
X: poor, ∆: good, O: excellent<br />
138
Deterministic<br />
Packet Marking (DPM)<br />
• 在 封 包 要 出 所 有 的 edge router 的 時 候 , 都 由 edge<br />
router 在 incoming interface 上 面 , 把 該 interface 的 IP<br />
Address 附 在 封 包 的 ID + Unused Bit ( 共 17 bit) 上 面 。<br />
因 為 只 有 17 bit 的 長 度 不 夠 放 總 長 32 bit 的 IP<br />
Address, 所 以 將 會 由 router 以 亂 數 的 方 式 將 IP<br />
Address 的 某 一 個 部 份 放 上 。 當 封 包 到 達 victim 端 時 ,<br />
若 這 個 攻 擊 連 線 所 送 的 封 包 數 足 夠 時 ,victim 端 就 有 很 大<br />
的 機 會 重 組 出 攻 擊 者 的 真 正 來 源 。 此 法 包 含 了 Packet<br />
Marking 這 種 方 法 的 特 性 , 只 需 要 在 每 個 interface 上 面<br />
加 上 標 記 IP Address 的 功 能 即 可 , 不 需 要 其 他 的 網 路 流<br />
量 , 也 不 需 要 其 他 的 網 路 設 備 與 管 理 。 但 也 保 有 了<br />
Packet Marking 的 弱 點 , 需 要 使 用 到 ID 這 個 欄 位 , 使 得<br />
IP 封 包 的 fragment 功 能 產 生 不 能 正 常 運 作 的 缺 點 [4], 雖<br />
然 有 人 對 此 法 作 改 進 , 但 仍 無 法 避 免 這 個 性 況 發 生 。 另<br />
外 , 此 法 也 無 法 在 攻 擊 封 包 數 非 常 小 的 情 形 上 運 作 。<br />
139
Deterministic<br />
Packet Marking (DPM)<br />
140
Deterministic<br />
Packet Marking (DPM)<br />
Tracing Multiple Attackers with Deterministic Packet Marking (DPM) 141 Andrey Belenky and Nirwan Ansari<br />
Advanced Networking Laboratory, ECE Department, NJIT, Newark, NJ 07102, USA
Deterministic<br />
Packet Marking (DPM)<br />
Tracing Multiple Attackers with Deterministic Packet Marking (DPM) 142 Andrey Belenky and Nirwan Ansari<br />
Advanced Networking Laboratory, ECE Department, NJIT, Newark, NJ 07102, USA
Deterministic<br />
Packet Marking (DPM)<br />
Tracing Multiple Attackers with Deterministic Packet Marking (DPM) 143 Andrey Belenky and Nirwan Ansari<br />
Advanced Networking Laboratory, ECE Department, NJIT, Newark, NJ 07102, USA
Deterministic Packet Marking (DPM)<br />
• Why identify the path?<br />
• Only construct the ingress edge router IP address<br />
• Uses interfaces as units of traceback<br />
• Only the ingress interface closest to the source<br />
marks the packet<br />
• 32 bit IP address is broken into 2 parts<br />
• 1 bit RF for identifying the part<br />
• How would you assemble the fragments?<br />
• Modification: send a hash along<br />
• More fragments<br />
• High false positive rate<br />
Problem: Per packet filtering cannot be employed<br />
144<br />
IP Traceback using Deterministic Edge Router Marking (DERM) By Shravan K Rayanchu
StackPi: Path Identification Mechanism<br />
• Why even construct the IP addresses?<br />
• Characterize the attack packets by the path<br />
information<br />
• Each router marks the packet deterministically<br />
• Take last n bits of the hash of IP address and<br />
append<br />
• Only 16/n marks can be present at a time (used like a stack)<br />
• Can be used for filtering<br />
• Collisions : false positives (More than 2 16 paths)<br />
• Maintain IP address table<br />
• Detect spoofing by associating marks with the IP<br />
addresses<br />
145<br />
IP Traceback using Deterministic Edge Router Marking (DERM) By Shravan K Rayanchu
StackPi: Path Identification<br />
Mechanism<br />
R1 R2 R3 R4<br />
m1 m1 m2 m1 m2 m3<br />
m2 m3 m4<br />
Problems:<br />
• Routing changes<br />
• Multiple paths give multiple stackpi marks<br />
• Attacker can create many markings<br />
•Legacy routers<br />
•Attackers close to victim<br />
•Not true for Mobile IP<br />
146<br />
IP Traceback using Deterministic Edge Router Marking (DERM) By Shravan K Rayanchu
s<br />
Probabilistic Packet Marking<br />
s<br />
v 1<br />
v 1 v 2<br />
v 3<br />
t<br />
v 2<br />
v 3<br />
t<br />
Router v i inscribes (v i-1<br />
,v i<br />
) onto a<br />
packet with probability p.<br />
Attack path<br />
reconstruction<br />
147
ICMP Traceback<br />
• 當 攻 擊 發 生 的 時 候 , 受 害 者 可 以 藉 由 router<br />
的 幫 忙 , 將 封 包 的 資 訊 放 入 一 個 特 定 格 式 的<br />
ICMP 封 包 內 , 藉 由 router 間 的 傳 送 , 可 以<br />
找 出 原 本 發 出 該 攻 擊 封 包 的 來 源 。 但 由 於<br />
ICMP 封 包 在 網 路 上 的 功 能 特 殊 , 所 以 通 常<br />
在 一 個 網 域 受 到 攻 擊 時 ,ICMP 封 包 就 會 被<br />
隔 絕 , 而 只 要 在 這 個 路 徑 上 有 一 個 router 無<br />
法 參 與 , 這 個 方 法 就 會 失 敗 ( 除 非 用 更 複 雜 的<br />
key distribution 架 構 去 解 決 它 )。<br />
148
ICMP-based traceback (cont.)<br />
149
ICMP-based traceback (cont.)<br />
• Router would generate an ICMP<br />
traceback message for only one in<br />
20000 packets.<br />
• Intension-driven ICMP traceback:<br />
• Decision module : select packet to be<br />
generate message.<br />
• Generation module:process chosen packet<br />
and sends a new message<br />
150
ICMP-based traceback (cont.)<br />
151<br />
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami
ICMP-based traceback<br />
152<br />
2003 IEEE SECURITY & PRIVACY 03HASSAN ALJIFRIUniversity of Miami
ICMP Traceback<br />
• For a very small probability (about 1 in<br />
20,000), each router will send the<br />
destination a new ICMP message indicating<br />
the previous hop for that packet.<br />
• Net traffic increase at endpoint is probably<br />
acceptable.<br />
iTrace it or not??<br />
153
iTrace<br />
• iTrace 在 Router 上 以 將 近 1/20,000 的 機 率 去 抽 樣 出 一 個 Packet, 對<br />
Destination 傳 送 一 個 新 的 ICMP Traceback Message, 該 ICMP<br />
Traceback Message 會 記 錄 上 一 個 Router 位 址 , 進 而 讓 研 究 人 員 可 以<br />
逐 層 的 往 上 追 蹤 DDoS 攻 擊 來 源 。<br />
S.F. Wu, L. Zhang, D. Massey, A. Mankin. “On design and evaluation 154of “intention-driven ICMP traceback,”<br />
Proc. Computer Communications and Networks, 2001.
追 蹤 DRDoS Attack??<br />
155
Improved ICMP Traceback<br />
• For a very few packets (about 1 in 20,000),<br />
each router will send the destination and<br />
the source a new ICMP message indicating<br />
the previous hop for that packet.<br />
• Net traffic increase at endpoint is probably<br />
acceptable.<br />
156
追 蹤 DRDoS Attack??<br />
157
Is that really me???<br />
Service Request Packet<br />
src: Victim<br />
dst: www.yahoo.com<br />
ISP<br />
source<br />
Traceback<br />
Messages<br />
How can I tell??<br />
Victim<br />
158
Intrusion Tolerance<br />
• 目 前 技 術 要 能 要 完 全 阻 擋 DDoS 攻 擊 是 不<br />
可 能 的 事 實 。Intrusion Tolerance 將 研 究<br />
重 心 著 重 在 如 何 將 攻 擊 衝 擊 減 到 最 小 ,<br />
並 且 能 提 供 一 定 的 頻 寬 品 質 。<br />
• Quality of Service (QoS)<br />
• Class-based Queuing<br />
159
Intrusion Responses – QoS<br />
• While setting up a solid security policy is<br />
considered a preventive measure rather<br />
than a QoS mitigation, a security policy<br />
is a critical aspect of any network.<br />
• Two dominant QoS techniques:<br />
• (1)Class-Based Queuing (CBQ).<br />
• (2)Rate limiting.<br />
160
Implementing QoS using Class-<br />
Based Queuing<br />
161
Intrusion-Tolerant Architectures<br />
162
Intrusion-Tolerant Architectures:Concepts and Design<br />
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 163 Univ. of Lisboa,<br />
Faculty of Sciences
Intrusion Tolerance concepts<br />
Intrusion-Tolerant Architectures:Concepts and Design<br />
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 164 Univ. of Lisboa,<br />
Faculty of Sciences
AVI composite fault model<br />
Intrusion-Tolerant Architectures:Concepts and Design<br />
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 165 Univ. of Lisboa,<br />
Faculty of Sciences
Intrusion-Tolerant Architectures:Concepts and Design<br />
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 166 Univ. of Lisboa,<br />
Faculty of Sciences
Intrusion-Tolerant Architectures:Concepts and Design<br />
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 167 Univ. of Lisboa,<br />
Faculty of Sciences
Intrusion-Tolerant Architectures:Concepts and Design<br />
Paulo Esteves Ver´ıssimo, Nuno Ferreira Neves, Miguel Pupo Correia 168 Univ. of Lisboa,<br />
Faculty of Sciences
Autonomous Anti-DDoS Network V2.0(A2D2-2)<br />
169
2.Architecture<br />
170
3.Implementations:<br />
171
3.1.Attack network<br />
172
3.3.client:Real Client +Client Bandwidth<br />
measurement tool<br />
173
Test Scenarios(1):Baseline<br />
• Data is collected for “normal” A2D2 network<br />
activities where three RealClients are<br />
accessing the RealServer.<br />
• The network is not experiencing any DDoS<br />
attack and no mitigation strategy is applied.<br />
• This data is considered to be the A2D2<br />
baseline traffic.<br />
174
Test Scenarios(2):Short 1-minute<br />
attack with no mitigation strategy<br />
• DDoS attacks are launched for one<br />
minute to show the effect of the attack<br />
on the QoS of the RealClient.<br />
• The attack protocols used are UDP,<br />
TCP and ICMP.<br />
175
Test Scenarios(3):Non-stop attack<br />
with no mitigation strategy<br />
• DDoS attacks are launched for the<br />
entire duration of the test case to show<br />
the effect of a non-stop attack on the<br />
QoS of the RealClient.<br />
• The attack protocols used are UDP,<br />
TCP and ICMP.<br />
176
Test Scenarios(4):Non-stop UDP<br />
attack with security policy<br />
• The security policy of A2D2 is applied.<br />
• Only traffic that targets the active UDP and TCP<br />
service ports at the RealServer is allowed to pass<br />
through the firewall.<br />
• The RealClient’s QoS is evaluated during a nonstop<br />
UDP attack against the A2D2 network.<br />
• The security policy is expected to stop most<br />
attack tools that generate random destination<br />
ports for their attack traffic.<br />
177
Test Scenarios(5):Non-stop<br />
ICMP attack with security policy<br />
• Since A2D2 does not implement any<br />
policy to block ICMP packets, a test run<br />
is conducted to show the effect of a<br />
non-stop ICMP packet even when the<br />
firewall security policy script is applied.<br />
• The hypothesis is that the QoS<br />
experienced by RealClient will suffer.<br />
178
Test Scenarios(6):Non-stop ICMP<br />
attack with security policy and CBQ<br />
• The goal of this test scenario is to show<br />
the effectiveness of CBQ against<br />
attacks that cannot be countered by<br />
basic firewall policy.<br />
179
Test Scenarios(7):Non-stop TCP-SYN attack<br />
with security policy and CBQ<br />
• This test scenario verifies that the A2D2<br />
security policy and CBQ can also<br />
mitigate attacks based on protocols<br />
other than UDP and ICMP.<br />
180
Test Scenarios(8):Non-stop TCP-SYN attack<br />
with security policy, CBQ, and autonomous<br />
multi- level rate- limiting<br />
• This final test scenario demonstrates<br />
the intrusion tolerance of the A2D2<br />
network and how all mitigation<br />
techniques collaborate with one another<br />
within the A2D2 network.<br />
181
Test Results<br />
182
183
184
Analysis:QoS Experienced by A2D2 Client<br />
During Experiment Normal Activity<br />
185
QoS Experienced by A2D2 Client During 1-Minute<br />
DDoS Attack<br />
186
QoS Experienced by A2D2 Client During Non-Stop DDoS<br />
Attack<br />
187
QoS Experienced by A2D2 Client During Non-Stop UDP<br />
DDoS Attack with A2D2 Firewall Policy Enabled<br />
188
QoS Experienced by A2D2 Client During<br />
Non-Stop ICMP DDoS Attack with A2D2 Firewall Policy Enabled<br />
189
QoS Experienced by A2D2 Client During Non-Stop<br />
ICMP DDoS Attack with A2D2 Firewall Policy & CBQ Enabled<br />
190
QoS Experienced by A2D2 Client During Non-Stop<br />
TCP-SYN DDoS Attack with A2D2 Firewall Policy & CBQ Enabled<br />
191
QoS Experienced by A2D2 Client During Non-Stop TCP-SYN DDoS<br />
Attack with A2D2 Firewall Policy, CBQ, Snort IDS, Autonomous Alert<br />
Communication and Multi-level Rate-Limiting Enabled<br />
192
結 論<br />
Global<br />
Impact<br />
Sector<br />
• Flash threats?<br />
• Massive worm-driven<br />
DDoS?<br />
• Critical infrastructure<br />
attacks?<br />
Scope<br />
Regional<br />
Individual<br />
Orgs.<br />
Individual<br />
PCs<br />
• 1 st gen. viruses<br />
• Individual DoS<br />
• Web defacement<br />
• email worms<br />
• DDoS<br />
• Credit hacking<br />
• Blended threats<br />
• Limited Warhol threats<br />
• Worm-driven DDoS<br />
• National credit hacking<br />
• Infrastructure hacking<br />
http://www.symantec.com<br />
1990s 2000 2003 Time<br />
193