投影片

Report
針對 DDoS 攻擊之骨幹網路全域聯防系統
方法提出:梁明章
報 告 人:林孟璋
2013.06.10
Agenda

骨幹防禦雲簡介
 架構
 設計重點
 分散式運算模組

DDoS攻擊回溯機制
 需解決之問題。
 協防機制之提出。
 工具探討
 NetFlow
 flow-tools
 成果與總結
骨幹防禦雲服務


緣起:利用國網中心掌握的學研網路骨幹,位居中央,能監控整個網路經
過的流量flow資訊,搭配骨幹流量分散運算平台,提供連線用戶快速即
時的全域入侵與攻擊偵測通報並進一步作 骨幹網路的協助防禦。
輸入



輸出






各合作單位之區域攻擊與入侵資訊,包括Botnet之C&C通報以及DOS/DDOS攻擊
通報。
學研骨幹設備之flow流量資料
通報受影響用戶與單位
受攻擊者
攻擊影響範圍
攻擊之路徑回溯
骨幹網路協助防堵
目標




當DOS或DDOS攻擊發動時,快速回溯攻擊來源入口,進行網際通報或堵截。
在得知C&C時,開始監督與其相關之通訊,定位受感染之下線,進行通報,當然
亦可另從歷史flow資料追查過往行為。
配合業界或學界之Botnet行為研究成果,亦可嘗試從C&C有關之通訊紀錄尋找其
上線C&C。
回饋搜尋結果給合作研究單位,驗證精確度,提升研究成效。
架構示意圖
區域攻擊與入侵資訊
骨幹與區域Netflow流量資料
Users’ IDS/IDP
Users’ HoneyPot
骨幹全域防禦雲服務
Users’ Log analyzer
Backbone’s
Netflow data
Users’
Netflow data
收集彙整
搜尋比對
服務使用者
感染定位
路徑回溯
通報處理
協防堵截
學研骨幹網路、互連網路、
使用者區域網路
設計重點

分散計算


高速比對


搭配國網中心三群間的高頻寬網路與異地的儲存設施,運算主機與流
量資料儲存不需置於同一機房,即使主要NOC因故失能,也能由備援
NOC繼續提供防禦雲服務
統一資訊入口


理論上只要增加骨幹流量分散運算群的機器數量,無論多大的即時資
訊量皆可追上。隨時可增加或減少運算機器數量以適合需要處理的
flow量
異地備援


應用樹狀搜尋法,使比對時間不受黑名單多寡的影響
可擴充性


利用分散計算,以追求接近「即時監控」的速度
應用負載分散技術,使用單位僅需將資訊送到虛擬之統一入口,不需
關心其後的計算問題
與現有業界設備及學界研究成果結合

現有業界設備及學界研究成果多聚焦於如何判定「誰是壞人」,本設
計直接以這些判斷結果作為輸入,將焦點放在如何達成即時於骨幹上
搜尋與定位,不會形成重複開發的資源浪費
分散運算平台設計圖
攻擊路徑回溯之難題
因為DoS攻擊類型通常不建立完整的TCP
連結,所以來源IP多半是捏造或隨機的,故
來源IP數量往往遠超過攻擊者實際數量,攔
截者需設定大量ACL且效果低微。
 藉由Flow資訊,回溯沿途骨幹路徑,在入
口端進行ACL攔截與通報對面網管繼續追
蹤BOT,是比較有效的方式。

攻擊路徑回溯之難題

Flow Header & Record 欄位未包含原發路
由器的資訊,僅能從UDP header 得知路由
器之IP。
 挪用未使用的欄位來記錄。

缺點:未符合標準Flow欄位,後續外部分析程式可
能因此出問題。
 轉發Flow時假造UDP
header,繼續保持原發
路由器之IP。

缺點:須由防禦系統程式親自製作UDP封包,效能
恐不如作業系統核心。
攻擊路徑回溯之難題
Flow欄位僅有發送者路由器的in/out網卡介
面的SNMP interface index,同一Flow
session在不同路由器發出的Flow之間沒有
任何關聯資訊,無法直接連結。
 必須事先建構好網路設備拓樸,建立路由器
之間的Port關聯,然後將各段Flow映射至拓
樸,才能建立回溯路徑。
 如何建構拓樸與Port關聯?

攻擊路徑回溯之難題

TWAREN多層混合骨幹的特點
Layer3
Layer2 乙太傳輸
Flow
Layer1 光傳輸
Router
Layer3
OXC
Layer2
Switch
Light-Path
Layer2
Layer2
Switch
Layer2
OXC
Flow
Layer3
Router
Layer3
協防追蹤機制
所有flow最多的地方路徑的最終出口端,
都會集中在最接近被攻擊者(Victim)的端點
上。
 以flow-tool 分析每台Router上的flows,
且指定為被攻擊端的IP(Destination IP),
而不是分析Source IP。
 再分析這些flow是從各台Router上的從那
些介面進/出。

分析者之一:相關開發模組
Attacker
Victim
所有各Routers都拋出NetFlow資料
Data -> NetFlow
Data Collector->
flow-tools
Flow Analyzer->
flow-tools
分析者之一:簡介Flow
All the packets for a flow are
contiguous and
uninterrupted
Flows collected in
parallel
Active timeout, Cache
flush, Router exhausted
resources, cause split
network flows
來源出自:Using SiLK for Network Traffic Analysis, Analysts’ Handbook
分析者之一:簡介NetFlow

NetFlow

為Cisco 之專屬協定,提供路由器中第三層之資訊,並 透過路由
器稽核目前網路使用狀況的技術。

目前NetFlow 開始發展至今已經擁有許多的版本,而目前最主要
的版本有v5、v7、. V9三種,其中v5 為最常見且最為廣泛支援
的版本。

每一筆 flow 是依相同的 Source IP、Destination IP、Source
Port、Destination Port、Protocol type、type of service
及router input interface 封包資訊,只要符合以上七個欄位
的封包,其傳輸量和封包數都會累計記入該flow 中,並視為同
一連線。

路由器介面會在接受當網路封包時分析其封包的標頭部分來取得
流量資料,並將所接到的封包流量的資訊彙整成一筆一筆的Flow
,再以UDP封包送往預先設置好的流量接收主機(Flow collector)
配合相關收集軟體進行分析統計的工作。
分析者之一:Flow-tools





http://www.splintered.net/sw/flow-tools/
Flow-tools是一套可以針對Netflow進行收集,分析與彙整報表的函式庫與程
式的集合工具。
常用指令
flow-capture :接收Router送出之flows。
flow-cat :印出flow內容。
flow-nfilter :過濾特殊欄位條件。
flow-stat :以特殊欄位條件印出相關欄位之報表。
flow-tools可有效率處理TWAREN骨幹上之flows,以被攻擊IP做為過濾條件
,分析流過相關路由器上的flows,處理速度考量。
Flow資料為binary files ,且可透過壓縮,有助於儲存骨幹路由器上所擷取
下來的相關flows,空間考量。
實做分析者-流程

流程圖
NetFlow raw data
Flow-capture
資料表
Reference
FlowDevice
Flow analyzer模組
Reference
FlowInterfaceDescr
FlowDevInfacsMap
pingIP
Reference
完成判定攻擊,寫進
資料庫
Reference
拓樸圖
通報告警、針對情節
重大採取措施
DB
FlowAttackInfo
實做分析者



實做項目(資料庫/資料表):
建立設備資料表。(FlowDeivce)
建立介面描述表,包含ifIndex, ifDescr,並與設備資料表做關連。
(FlowInterfaceDescr)
 建立Layer-3 Link Sub-Net List,與設備、介面描述表做關連
(FlowDevInfacsMappingIP)。
 建立攻擊資料,分析flow後的結果,包含在設備名稱,In/Out Interfaces
所產生的flow數, packet counts,攻擊發生時間等(FlowAttackInfo)。

實做項目(程式)
 讀進flow Raw data,過濾destination IP為被攻擊者的flow,產生report
file。
 讀進report data,包含進/出介面,相關flow count, packets count,寫進
DB。
 判定單位時間內flow、packets count是否異常。
成果與總結


某攻擊者使用DDoS攻擊軟體,運用了1000隻Bot針對
我們的www.twaren.net網站,發動攻擊。
我們接受到www.twaren.net網站服務異常的通報,並
且分析相關時間區段內的flow資料,我們同時分析
2013-05-07 23:30:00、2013-05-07 23:35:00、201305-07 23:40:00這三個時間點的NetFlow資料發現,於
TN-7010上所產出的Netflow報表。有著不尋常的封包
數增加,如下圖。 2000
1800
1600
1400
封包數
1200
1000
800
600
400
200
0
23:20:00 PM 23:25:00 PM 23:30:00 PM 23:35:00 PM 23:40:00 PM
成果與總結


且於攻擊資料表中紀錄了相關進入TN-7010上的input
Interface ,即可明顯知道攻擊來源來自於ifIndex=18這
個介面。
若攻擊持續進行,NOC適時通知二線,並配合TWAREN
整合式網路管理平台(INMS),對攻擊所進入之介面,予以
封鎖。
成果與總結



DDoS來源IP多半假造,也有可能是隨機產生,針對來
源IP下ACL,將形成為數不少的ACL,並增加路由器負
擔。
我們透過分析flow,藉由路由器送出的flow資訊,並配
合查詢網路拓樸圖,得知入口端,以嚴重的入口端節點
,進行ACL阻攔,協助被攻擊者的衝擊壓力。
骨幹防禦雲機是一個flow即時比對過濾平台,分析者僅
是其實做項目之一,需配合路由器組態設定建構layer3的網路拓圖,並透過Neighbor Discovery相關SNMP
MIB來建構layer-2網路拓圖。來完成骨幹管理者的協防
任務。
謝謝聆聽
Q&A

similar documents