InForSec 学术报告纪要 20190927

标签:BGP   DDoS   Bitcoin   网络拓扑    2209人阅读 评论(0)

InForSec 学术报告纪要 20190927

9月27日参加了清华大学网安国际学术论坛学术报告会,主要内容整理如下:

Part A DDoS

1. Background

transit-link DDoS:区别于传统以攻击受害者终端设备为目标的模式,对网络链路发起攻击(如下图所示)。通过拥塞到达目标(受害者)节点的重要链路,实现中断服务的目的。

1571204103569089668.png

和 transit-link DDoS Attack 相关的学术研究有 Coremelt Attack (ESORICS' 09, CCF Rank B) 和 Crossfire Attack (S&P' 13)。相比传统 DDoS 攻击模式,transit-link DDoS 具有以下特点:

  1. 受害方无感。攻击者采用间接攻击方式,攻击流量拥塞在受害者上游链路,受害者一侧难以检测。

  2. 难以辨识。攻击者利用 decoy server,攻击流量由大量不同正常访问服务的网络流组成,源目的 IP 可灵活变化,难以被链路中间节点识别。

  3. 持续性强。攻击者可设置灵活的部署策略避免路由切换链路或启用负载均衡策略。

  4. 灵活度高。攻击者可以根据主动测量得到的网络拓扑确定攻击链路,决定流量构成,自由度高,成本低,可能造成 side effect(如处于目标域内的非目标主机可能躺枪)。

transit-link DDoS 仍是一个 open problem,Routing Around Congestion , RAC(S&P’ 18)认为解决 DDoS 应采用路由选路缓解而非流量过滤清洗等现有传统方案。文章提出了一种巧妙的解决思路(如下图,将原有路径 C->X->W->Z->D detour 为 C->X->Y->Z->D),实施条件可概况为以下两点:

1571204228318026282.png

  1. 根据路由最长前缀匹配原则,将大段拆分为小段,向特定区域宣告(detour path establishment);

  2. 为保证宣告路由只被特定 AS 接收,将待投毒 AS 加入宣告路径中,利用路由防环机制,使宣告路径被特定链路使用,降低污染干扰,达到缓解拥塞路径的目的,不需要 AS 间的相互协调配合(path isolation)。

2. Motivation

Muoi Tran 等认为,RAC 所提出的两个条件(detour path establishment & path isolation)难以同时严格满足,只能达到一个 trade-off,因此深度分析了 RAC 方案的可行性。他们分析结果表明,RAC 在现网环境中难以实现,在只能严格满足一个条件的情况下,RAC 的效果和可用性都会大幅下降。

3. Contributions
1. detour path establishment & path isolation 两条件难以同时满足,只能达到一个trade-off。
  • 多数 AS path 包含一个或多个 tier-1 或 tier-2 ASes,为保证新宣告路由隔离,需要将宣告路径所含 ASN 的邻居节点全部加入到 AS path 中(待污染的 ASN 数量极大),使 AS path 长度超过 RFC 规定值(2034)。且在实际网络中,ISP 或路由器厂商通常会过滤过长的 AS path(如长度大于255)。

  • 在难以保证宣告路径隔离的情况下会产生路由泄露,因此在宣告新路由和隔离的要求下只能取折中。

2. 提出针对 RAC 自适应的链路攻击模型(adaptive detour-learning attack)
  • 在存在路由泄露的情况下,攻击者容易确定出新宣告的路由(traceroute,获取公开路由数据集等方案)。

  • 在严格保证宣告路径隔离的情况下,难以建立多条可用的替代路径,健壮性不足。

  • 受 Path Hunting 等 BGP 路由收敛影响,RAC 难以对攻击变化作出快速反应。

4. Conclusions
  • RAC 在现实的网络环境中难以防范 DDoS,还可能带来其他安全隐患(任意控制上行流量,路由劫持/篡改等)。

  • 标准的制定通常与实施和配置差别较大,在现网环境中可用的部署不能单依赖参考&分析标准。

1571204354217036445.png

Part B BitCoin Attack

1. Background and Motivation

通过路由前缀劫持方式对比特币 P2P 网络实施分割攻击是有效的,但由于 BGP 的协议特性,这种攻击隐蔽性低且容易被检测到。文章提出了一种攻击方式 EREBUS ,利用大型 AS 位于中间人位置的特性,构造伪造报文,逐渐影响比特币节点的决策。这种攻击不需要路由层面的操作,因此攻击在控制面甚至数据面是难以检测的,具有较强的隐匿性。

2. Methodology
Target:如下图所示,adversary AS M 试图攻击目标节点 V,改变 V 的原邻居节点 B, F 为经过 M 的节点 C, D. M 可对 V 实施中间人攻击。假设一个比特币节点同一时刻只有一个攻击者对其发起攻击。

1571204402055049591.png

EREBUS ATTACK:和 IP reuse 原理类似,利用网络拓扑改变目标 V 的邻居节点,如下图所示,攻击分为两个步骤。

1571204439138061188.png

Step I 尽可能多的收集满足条件的可用 shadow IPs

shadow IP 需要满足从攻击目标到该 IP 的路由经过 adversary M。

Step II adversary M 使用 shadow IPs 与目标节点建立连接

adversary M 利用 shadow IPs 与受害目标节点建立连接,目标节点更新内部存储的邻居节点地址,改变受害节点的邻居关系。

3. Conclusions
EREBUS ATTACK 是一种依赖 underlay 网络的中间人攻击,具有以下特点:
  • 难检测。和路由劫持相比,没有控制面的修改操作。数据面难以溯源,可抵赖。

  • 可用性。能够在 tier-1 or tier-2 等 TOP AS 实施,有显著效果。

  • 缺乏简单易行的防御策略。该攻击方式利用了基本网络拓扑的优势,部分的防护策略会违背比特币的设计原则。

Q & A

  • ISP 作为中间人的位置,能发起攻击的应用类型应该很多,为什么选择做 bitcoin attack?

    • bitcoin 作为数字货币,是 adversary 所关注的一个方向

    • bitcoin 是典型的受路由影响的 P2P 典型应用之一

参考文献

[1] M. S. Kang, S. B. Lee, and V. D. Gligor. The crossfire attack. In 2013 IEEE Symposium on Security and Privacy, pages 127–141.

[2] J. M. Smith and M. Schuchard. Routing around congestion: Defeating DDoS attacks and adverse network conditions via reactive BGP routing. In 2018 IEEE Symposium on Security and Privacy (SP), pages 599–617.

[3] M. Tran, M. S. Kang, H. Hsiao, W. Chiang, S. Tung, and Y. Wang. On the feasibility of rerouting-based DDoS defenses. In 2019 IEEE Symposium on Security and Privacy (SP), pages 1169–1184.

[4] M. Tran, I. Choi, G. J. Moon, A. V. Vu, and M. S. Kang. A stealthier partitioning attack against bitcoin peer-to-peer network. page 16.

查看评论

暂无评论

发表评论
  • 评论内容:
      
首页
团队介绍
发展历史
组织结构
MESA大事记
新闻中心
通知
组内动态
科研成果
专利
论文
项目
获奖
软著
人才培养
MESA毕业生
MESA在读生
MESA员工
招贤纳士
走进MESA
学长分享
招聘通知
招生宣传
知识库
文章
地址:北京市朝阳区华严北里甲22号楼五层 | 邮编:100029
邮箱:nelist@iie.ac.cn
京ICP备15019404号-1