IP 트레이스백

IP 트레이스백은, 인터넷상에서 패킷의 송신원을 확실히 판별하기 위한 임의의 방법입니다.IP 프로토콜은 IP 패킷의 소스 IP 주소 인증을 제공하지 않으므로 소스 주소가 IP 주소 스푸핑이라는 전략으로 위조될 수 있으며 잠재적인 인터넷 보안 및 안정성 문제가 발생합니다.

잘못된 송신원IP 주소를 사용하면, Denial-of-Service 공격(DoS; 서비스 거부 공격) 또는 단방향 공격(공격의 계속을 위해서, 공격 대상^{[clarification needed]} 호스트로부터의 응답이 충분히 알려져 있기 때문에, 리턴 패킷을 수신할 필요는 없습니다).IP 트레이스백은 공격의 근원을 특정하고 인터넷에 대한 보호 대책을 확립하기 위해 중요합니다.이 문제에 대한 기존의 접근 방식은 대부분 DoS 공격 검출에 맞춰져 있습니다.이러한 솔루션에서는 공격 경로로 수렴하기 위해 대량의 패킷이 필요합니다.

확률론적 패킷마킹

Savage ^[1]등은 패킷을 인터넷을 통해 라우터를 통과할 때 확률적으로 마킹할 것을 제안했다.라우터는 패킷에 라우터의 IP 주소 또는 패킷이 라우터에 도달하기 위해 통과한 경로의 엣지 중 하나를 마킹할 것을 제안합니다.

첫 번째 방법으로는 라우터의 IP 주소로 패킷을 마킹하는 분석 결과 95%의 정확도로 올바른 공격 경로를 얻으려면 294,000개의 패킷이 필요하다는 것을 알 수 있습니다.두 번째 접근법인 엣지 마킹에서는 엣지를 구성하는2개의 노드가 그 사이의 거리에 따라 IP 주소로 패스를 마킹해야 합니다.이 방법에서는 각 패킷에 단순한 노드 마킹보다 더 많은 상태 정보가 필요하지만 훨씬 빠르게 수렴됩니다.이러한 접근법의 상태 정보를 관리하기 ^[1]쉬운 것으로 줄이는 세 가지 방법을 제안합니다.

첫 번째 접근법은 각 노드를 XOR하여 경로에서 서로 엣지를 형성하는 것입니다.노드 A 는, 자신의 IP 주소를 패킷에 삽입해, b 에 송신합니다.b 로 검출되면(멀리 있는0 을 검출하는 것으로), B 는 주소를 a 의 주소로 XOR 합니다.이 새로운 데이터 엔티티를 에지 ID라고 하며 에지 샘플링에 필요한 상태를 절반으로 줄입니다.다음 접근법은 이 엣지 ID를 k개의 작은 fragment로 fragment화하는 것입니다.다음으로 fragment를 랜덤으로 선택하여 fragment오프셋과 함께 부호화하여 적절한 fragment를 다운스트림라우터에서 선택하여 처리합니다.충분한 패킷이 수신되면 공격 대상자는 일련의 패킷이 통과하는 모든 에지를 재구성할 수 있습니다(여러 ^[1]공격자가 존재하는 경우에도).

Song과 Perrig의 연구에 따르면 단편화된 엣지 ID를 재구축하는 데 필요한 조합의 수가 많기 때문에 이러한 공격 그래프의 재구성은 계산 집약적입니다.게다가, 이 접근법은 다수의 잘못된 긍정을 낳는다.예를 들어 DDoS 공격에서 공격 호스트는 25개뿐이므로 재구성 프로세스를 구축하는 데 며칠이 걸리고 수천 개의 잘못된 ^[2]긍정이 발생합니다.

따라서 Song과 Perrig는 다음 트레이스백 방식을 제안합니다.해시와 인터리브된 IP 주소를 11비트해시로 인코딩하여 16비트프래그먼트 ID 필드에 저장되어 있는5비트 홉카운트를 유지할 것을 권장합니다.이는 5비트 홉카운트(최대 홉 수 32)로 거의 모든 인터넷루트에 충분하다는 관찰에 근거하고 있습니다.또, 마킹내의 라우터의 순서를 결정할 수 있도록, 2개의 다른 해시 함수를 사용할 것을 제안하고 있습니다.다음으로 특정 홉에 마킹이 결정되면 먼저 거리 필드에 0이 있는지 확인합니다.이는 이전 라우터가 이미 마킹했음을 의미합니다.이 경우 자신의 IP 주소의 11비트해시를 생성하여 이전 홉과 함께 XOR합니다.제로 이외의 홉카운트가 검출되면 IP 해시를 삽입하고 홉카운트를 제로로 설정하여 패킷을 전송합니다.라우터가 패킷을 마킹하지 않기로 결정했을 경우 오버로드된 fragment id ^[2]필드의 홉카운트를 늘리기만 하면 됩니다.

Song과 Perrig는 이것이 충돌에 대해 충분히 강력하지 않음을 식별하기 때문에 독립된 해시 함수 세트를 사용하여 무작위로 하나를 선택한 후 FID 또는 함수 ID와 함께 IP를 해시하고 이를 인코딩할 것을 권장합니다.그들은 이 접근방식이 본질적으로 충돌 확률을 (1/(211)m)로 감소시킨다고 말한다.자세한 내용은 송과 ^[2]페리그를 참조하십시오.

결정론적 패킷마킹

Belenky와 Ansari는 결정론적 패킷 마킹 방식을 개략적으로 설명합니다.이들은 접속 경계를 가진 LAN과 AS로 구성된 보다 현실적인 인터넷 토폴로지를 설명하고 네트워크 입력 지점에서 착신 패킷에 단일 마크를 붙이려고 합니다.입력 인터페이스의 IP 주소의 위쪽 절반 또는 아래쪽 절반을 패킷의 fragment id 필드에 넣고 fragment 필드에 주소의 어느 부분이 포함되어 있는지를 나타내는 예약 비트를 설정하는 것이 목적입니다.이 어프로치를 사용하는 것으로, 패킷이 ^[3]7개 밖에 없는 경우, 0의 false positive를 .99 확률로 취득할 수 없다고 주장합니다.

Rayanchu와 Barua는 이 접근법(DERM이라고 함)에 대한 또 다른 힌트를 제공합니다.패킷의 fragment id 필드에 입력 인터페이스의 IP 주소와 부호화를 실시하는 것도, 같은 어프로치입니다.Belenky 및 Ansari와 다른 점은 IP 주소를 해당 IP 주소의 16비트해시로 인코딩하는 것입니다.처음에는 알려진 해시 함수를 선택합니다.마킹을 실행하는 ^[4]엣지 라우터가 2^16을 넘으면 콜리젼이 발생한다고 기술되어 있습니다.

이들은 유니버설세트에서 해시함수의 랜덤 분산선택을 도입하여 IP 주소에 적용하여 충돌 문제를 완화하려고 합니다.어느 해싱 시나리오에서도, 송신원주소와 해시는, 나중에 참조할 수 있도록, 수신한 주소의 부분을 나타내는 비트와 함께 테이블에 매핑 됩니다.복잡한 절차와 랜덤 해시 선택을 통해 주소 충돌을 줄일 수 있습니다.결정론적 접근방식을 사용함으로써 마크(16비트 해시)에 대한 재구성 절차의 시간을 단축합니다.단, 해시를 통해 마크를 부호화함으로써 콜리전이 발생할 가능성이 높아지기 때문에 폴스 ^[4]포지티브가 됩니다.

Shokri와 Varshovi는 "Dynamic Deterministic Packet Marking"(DDPM)을 사용한 동적 마킹 및 마크 기반 검출 개념을 도입했습니다.다이내믹 마킹에서는 대규모 DDoS 네트워크에서 공격 에이전트를 찾을 수 있습니다.DRDoS의 경우, 공격 대상자는 공격을 소스까지 한 걸음 더 거슬러 올라가 마스터 머신 또는 몇 개의 패킷만 있는 실제 공격자를 찾아낼 수 있습니다.제안된 마킹 절차는 마크 기반 검출을 통해 공격 대상자에 대한 DRDoS 공격 검출 가능성을 높입니다.마크 베이스의 방식에서는, 검출 엔진은 패킷의 마크를 고려해, DDoS 공격에 관련하는 단일 사이트의 다양한 송신원을 식별합니다.이것에 의해, 검출의 확률이 큰폭으로 높아집니다.엔드 투 엔드 원칙 접근법, 운명 공유 및 확장 가능하고 적용 가능한 스킴의 필요성을 충족시키기 위해 엣지 라우터만이 단순한 마킹 절차를 구현합니다.엣지 라우터에 추가되는 지연과 대역폭 오버헤드는 매우 미미하기 때문에 DDPM을 구현할 ^[5]수 있습니다.

S. Majumdar, D.Kulkarni와 C.Ravishankar는 ICDCN 2011에서 DHCP 패킷의 발신원을 추적하는 새로운 방법을 제안합니다.이 메서드는 DHCP 패킷을 수신한 엣지 스위치의 MAC 주소와 입력 포트를 포함하는 새로운 DHCP 옵션을 추가합니다.이 새로운 옵션은 엣지 스위치에 의해 DHCP 패킷에 추가됩니다.이 솔루션은 DHCP RFC에 준거하고 있습니다.이전의 IP 트레이스백메커니즘은 트레이스백 정보를 포함한 IP 헤더필드에 과부하가 걸리기 때문에 IP RFC를 위반하고 있습니다.다른 메카니즘과 마찬가지로, 이 문서에서는 네트워크가 신뢰되고 있는 것을 전제로 하고 있습니다.이 문서에서는 이 실용적인 접근방식을 설계할 때 고려된 라우터/스위치의 다양한 성능 문제를 설명합니다.단, 이 접근방식은 일반 IP 패킷에는 적용되지 않습니다.^[6]

라우터 베이스의 어프로세서

라우터 베이스의 어프로치에서는, 라우터는 자신을 통과하는 패킷에 관한 정보를 보관 유지합니다.예를 들어 Sager는 패킷을 기록하고 나중에 데이터를 마이닝할 것을 제안합니다.이것은 대역 외이기 때문에 고속 ^{[citation needed]}패스를 방해하지 않는다는 장점이 있습니다.

Snoeren 등은 라우터 내의 마킹을 제안합니다.그들의 논문에서 제안된 아이디어는 패킷의 불변 부분(소스, 수신처 등)과 처음 8바이트의 페이로드(충돌 가능성이 낮을 만큼 충분히 고유함)에 기초하여 패킷의 지문을 생성하는 것입니다.구체적으로는 m개의 독립된 단순 해시함수가 각각 2n-1 범위의 출력을 생성합니다.다음으로 생성된 인덱스에 비트를 설정하여 다른 모든 해시함수의 출력과 조합했을 때 지문을 생성한다.모든 지문은 나중에 검색할 수 있도록 2n 비트테이블에 저장됩니다.이 문서에서는 이 목적에 적합한 단순한 해시 함수 패밀리를 보여 주고 ^[7]하드웨어 구현을 제시합니다.

각 라우터에서 필요한 공간은 제한되어 있으며 제어가 가능합니다(2n비트).n이 작을수록 패킷해시의 충돌(및 오식별) 가능성이 높아집니다.패킷이 트레이스 되려면 , 핑거 프린트의 일치가 체크되는 발신기지 라우터로 전송 됩니다.시간이 지남에 따라 지문 정보는 다른 패킷에 의해 생성된 해시에 의해 "폐쇄"됩니다.따라서, 이 어프로치의 선택성은, 패킷의 통과와 트레이스 백의 ^[7]조사 사이에 경과한 시간에 따라서 저하됩니다.

라우터 베이스의 스킴에 관한 또 다른 기존의 견해는 Hazeyama 등입니다.이 어프로치에서는,^[7] Snoeren에 의해서 개략적으로 설명되고 있는SPIE 어프로치를, 네트워크 ID(VLAN 또는 True ID), 패킷을 수신한 레이어2 스위치의 MAC 주소 및 착신 링크 ID와 함께 레이어2 링크 ID를 기록하는 어프로치와 통합하려고 합니다.다음으로 이 정보는 2개의 룩업테이블에 저장됩니다.이 테이블에는 룩업용 스위치(레이어 2 라우터) MAC ID가 포함됩니다.패킷의 역추적 방법으로서 MAC:port 태플에 의존합니다(MAC 주소가 스푸핑 ^[8]되어 있는 경우라도).

스토리지 제한 문제를 완화하기 위해 이들은 Snoeren의 SPIE(해싱 접근 및 구현)를 사용하여 해싱에 대한 정보를 받아들이도록 수정합니다.이들은 알고리즘이 느리고(O(N2) 330만 개의 패킷해시만 저장되므로 다이제스트테이블이 무효가 될 때까지의 대략적인 시간은 1분입니다.즉, 모든 공격 응답은 실시간이어야 합니다.단일 관리 LAN 도메인 ^[8]상에서만 가능합니다.

대역외 접근법

ICMP 트레이스백스킴 Steven M. Bellovin은 가능성이 낮은IP 패킷의 행선지 호스트에 ICMP 트레이스백패킷을 송신할 것을 제안합니다.따라서 패킷 또는 라우터의 상태를 유지할 필요가 없어집니다.또한 낮은 확률로 인해 처리 오버헤드와 대역폭 요건이 낮아집니다.Bellovin은 시간 공격 버스트의 시도를 차단하기 위해 의사 난수에 기초한 선택도 제안합니다.이 접근법의 문제는 라우터가 일반적으로 ICMP 메시지와 관련된 보안 문제로 인해 ICMP 메시지를 차단한다는 것입니다.

액티브한 공격 흐름의 트레이스백

이 타입의 솔루션에서는, 옵서버는, 공격을 받고 있는 호스트로부터 시작되는 라우터의 착신 포토와 발신 포토를 조사함으로써, 기존의 공격 플로우를 추적합니다.따라서 이러한 솔루션을 사용하려면 공격 경로를 따라 라우터에 대한 특권 액세스가 필요합니다.

이 제한을 무시하고 이 프로세스를 자동화하기 위해 Stone은 ISP 엣지 라우터를 사용하여 오버레이 네트워크에서 의심스러운 패킷을 라우팅할 것을 제안합니다.토폴로지를 단순화함으로써 의심스러운 패킷을 전문 네트워크로 쉽게 재루팅하여 자세한 분석을 할 수 있습니다.

DoS의 성질상, 그러한 공격은 가능한 방법으로 추적할 수 있을 정도로 충분히 오래 지속됩니다.레이어 3 토폴로지의 변경은 결정된 공격자에 대한 마스크는 어렵지만 라우팅 변경이 검출되어 나중에 적응할 때까지 DoS가 완화될 가능성이 있습니다.공격자가 적응하면 재루팅 스킴은 다시 적응하여 재루팅할 수 있습니다.즉, DoS 공격에 진동을 일으켜 이러한 공격의 영향을 흡수할 수 있습니다.

기타 접근법

Hal Burch와 William Cheswick은 이 플래딩이 공격 스트림에 어떤 영향을 미치는지 판단하기 위해 제어된 링크 플래딩을 제안합니다.링크를 플래딩하면 공격자로부터의 패킷을 포함한 모든 패킷이 같은 확률로 폐기됩니다.이를 통해 특정 링크가 플래딩되어 공격자로부터의 패킷이 느려진 경우 이 링크는 공격 경로의 일부가 되어야 한다는 결론을 내릴 수 있습니다.다음으로 재귀적으로 업스트림라우터는 공격 패스가 ^[9]검출될 때까지 이 테스트를 실행하도록 「합격」됩니다.

스푸핑된 패킷 때문에 트레이스백 문제가 복잡합니다.이 때문에, 스푸핑 된 패킷(입력 필터링이라고 불립니다)을 방지하는 것을 목적으로 하고 있습니다.입력 필터링에서는, 이 라우터를 사용할 수 있는 정규의 송신원네트워크 세트를 트래킹 해, 스푸핑 된 패킷을 네트워크에 제한합니다.

Park 및 Lee는 레이어 3에서 Ingress Filtering의 확장을 제시합니다.패킷의 ^{[citation needed]}라우팅 여부를 라우터가 인텔리전트하게 판단하도록 하기 위해 기본적으로 기존의 OSPF 라우팅 스테이트를 사용하여 적어도 서브넷에 대해 잘못된 패킷을 검출하는 수단을 제공합니다.

레퍼런스

^ ^a ^b ^c Savage, Stefan; D. Wetherall; A. Karlin; T. Anderson (2000). "Practical Network Support for IP Traceback" (PDF). ACM SIGCOMM. Stockholm, Sweden. Retrieved 2008-11-18.
^ ^a ^b ^c Song, Dawn; A. Perrig (2001). "Advanced and Authenticated Marking Schemes for IP Traceback" (PDF). INFOCOM 2001. pp. 878–886. Retrieved 2008-11-23.
^ Belenky, Andrey; Nirwan Ansari (2007). "On deterministic packet marking". Computer Networks. 51 (10): 2677–2700. doi:10.1016/j.comnet.2006.11.020.
^ ^a ^b Rayanchu, Shravan K.; Gautam Barua (December 22–24, 2004). "Tracing Attackers with Deterministic Edge Router Marking (DERM)". Distributed Computing and Internet Technology, First International Conference. Bhubaneswar, India. pp. 400–409.
^ Shokri, Reza; A. Varshovi; H. Mohammadi; N. Yazdani; B. Sadeghian (September 13–15, 2006). "DDPM: Dynamic Deterministic Packet Marking for IP Traceback". IEEE International Conference on Networks. Singapore. pp. 1–6.
^ Majumdar, Saugat; D. Kulkarni; C.Ravishankar (2011). "DHCP Origin Traceback in Ethernet Switched Networks" (PDF). ICDCN. Archived from the original (PDF) on 2011-06-22. Retrieved 2010-09-22.
^ ^a ^b ^c Snoreren, Alex C.; C. Partridge; L. A. Sanchez; C. E. Jones; F. Tchakountio; B. Schwartz; S. T. Kent; W. T. Strayer (2002). "Single-packet IP traceback". IEEE/ACM Trans. Netw. 10 (6): 721–734. CiteSeerX 10.1.1.14.1277. doi:10.1109/TNET.2002.804827.
^ ^a ^b Hazeyama, Hiroaki; Y. Kadobayashi; D. Miyamoto; M. Oe (June 26–29, 2006). "An Autonomous Architecture for Inter-Domain Traceback across the Borders of Network Operation". Proceedings of the 11th IEEE Symposium on Computers and Communications. Cagliari, Sardinia, Italy. pp. 378–385.
^ Burch, Hal; Bill Cheswick (2000). "Tracing Anonymous Packets to Their Approximate Source" (PDF). LISA. pp. 319–327.

[Savage-1] Savage, Stefan; D. Wetherall; A. Karlin; T. Anderson (2000). "Practical Network Support for IP Traceback" (PDF). ACM SIGCOMM. Stockholm, Sweden. Retrieved 2008-11-18.

[song-2] Song, Dawn; A. Perrig (2001). "Advanced and Authenticated Marking Schemes for IP Traceback" (PDF). INFOCOM 2001. pp. 878–886. Retrieved 2008-11-23.

[belenky-3] Belenky, Andrey; Nirwan Ansari (2007). "On deterministic packet marking". Computer Networks. 51 (10): 2677–2700. doi:10.1016/j.comnet.2006.11.020.

[rayanchu-4] Rayanchu, Shravan K.; Gautam Barua (December 22–24, 2004). "Tracing Attackers with Deterministic Edge Router Marking (DERM)". Distributed Computing and Internet Technology, First International Conference. Bhubaneswar, India. pp. 400–409.

[shokri-5] Shokri, Reza; A. Varshovi; H. Mohammadi; N. Yazdani; B. Sadeghian (September 13–15, 2006). "DDPM: Dynamic Deterministic Packet Marking for IP Traceback". IEEE International Conference on Networks. Singapore. pp. 1–6.

[smajumdar-6] Majumdar, Saugat; D. Kulkarni; C.Ravishankar (2011). "DHCP Origin Traceback in Ethernet Switched Networks" (PDF). ICDCN. Archived from the original (PDF) on 2011-06-22. Retrieved 2010-09-22.

[snoeren-7] Snoreren, Alex C.; C. Partridge; L. A. Sanchez; C. E. Jones; F. Tchakountio; B. Schwartz; S. T. Kent; W. T. Strayer (2002). "Single-packet IP traceback". IEEE/ACM Trans. Netw. 10 (6): 721–734. CiteSeerX 10.1.1.14.1277. doi:10.1109/TNET.2002.804827.

[hazeyama-8] Hazeyama, Hiroaki; Y. Kadobayashi; D. Miyamoto; M. Oe (June 26–29, 2006). "An Autonomous Architecture for Inter-Domain Traceback across the Borders of Network Operation". Proceedings of the 11th IEEE Symposium on Computers and Communications. Cagliari, Sardinia, Italy. pp. 378–385.

[burch-9] Burch, Hal; Bill Cheswick (2000). "Tracing Anonymous Packets to Their Approximate Source" (PDF). LISA. pp. 319–327.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

Search