Analysis-Overlay-resist-D Do S-2003-wang

Analysis of Using Overlay Networks to Resist Distributed Denial-of-Service Attacks (2003)

http://citeseer.nj.nec.com/wang03analysis.html

Ju Wang, Andrew A. Chien

@misc{ wang-analysis,
  author = "Ju Wang and Andrew A. Chien",
  title = "An Analysis of Using Overlay Networks to Resist Distributed
  Denial-of-Service
    Attacks",
  url = "citeseer.nj.nec.com/wang03analysis.html" }

keyword

security, availability, Denial-of-Service attack, overlay network, modeling


概要

Overlayを元にした、ProxyがDoSからInternet上のホストを守ってきた。 でも、これに対する正式な解析はなされてこなかった。

そこで、攻撃モデルとシステムモデルの二つに基づいて、解析を行った。

攻撃には二種類ある。資源枯渇と機密漏洩だ。本論文の分析モデルは、資源回復 とシステム再構築に使えるだろう。

我々の結論は

1) 侵入検知をトリガーにする回復は、資源枯渇型攻撃には通用しない 2) 侵入のtrue-positive rate検知は、検知速度の点でよい 3) random proxy migrationのような再構築手法は攻撃側からまもるのによい 4) overlay なトポロジーはcriticalだ。密結合なトポロジは攻撃に対する安全 性を低下させる

序論

DoSはInfrastructure level攻撃あるいはApplication Level攻撃に分類される。

SOS(Secure Overlay4)などが、IP ネットワーク上の資源を抽象化して、Proxy Networkの下におしこめて隠す、という提案をしている。

こういうネットワークだと、アタッカーがProxy Network上のアプリケーション を攻撃したとしても、実際のIPネットワーク上のホストを移動してしまえば守れ る。十分に大きければ、攻撃者はどこに移動したか分からない。

本論文はこういう攻撃をさけるための、networkのRe-configureを対象としてい る。

問題点

Proxy Network Scheme Overview

Proxy Network では、アプリケーションはProxy Network上のノードで動いてい るようにみえる。実際には、IPネットワークのHostで動いている。そのmapping を知っている人じゃないと通信できない。

ノードにはInternal Proxy(実際に動作をするノード)とEdge Proxy(Internalに 入るためのノード)の二種類ある。EdgeのIP 上のHostは公開されているが、 Internalは公開されていない。アプリケーションと通信するためには、Edgeから 入る。

攻撃

攻撃には二種類ある。

防御機構

システム再構築のほうは、mappingを変えることでマイグレートする。だから、 Network Topology自体は変化しない。

問題定義

攻撃は全てのEdge Proxyにはこないとすると、問題は下の二つ。

解析モデル

パラメータ解析

  1. 資源枯渇攻撃から守るには、どういう再構築ポリシーがいいのか?
  2. 資源枯渇攻撃を検知するにはどうするのがいいのか?
  3. ランダムproxyマイグレーションのような単純なもので漏洩を防げるのか?
  4. 漏洩を防ぐにはどういうOverlay Network Topologyがいいのか?

1.

Random resetが資源枯渇に対抗するためにはいい。(fig.6 and 7)

2.

True Positive rateが検知速度の面で効果的にでるため、これを目安に選ぶといい。

3.

広範囲(5hopとか)に移動するというポリシーであれば、random migrationは効果 がある。

4.

密結合なトポロジはProxy Networkの安全性を低下させる。

議論

  1. 全部のノードは独立しているという前提を持っている。もしも、相互に関係 を以っているのならば、攻撃者はそれをたどれば、すぐにわかっちゃうよね。
  2. 漏洩に対するDoSに関しては考えていない。
  3. 動作させたホスト数は 使えるだけだった。

関連研究

結論

References

-4 Kaheromytis, A.D., V.Misra, and D.Rubenstein, SOS: Secure Overlay Services. in ACM SIGCOMM'02 2002. Pittsburgh, PA: ACM

感想