[論文レビュー] Active Internet Traffic Filtering: Real-time Response to Denial of Service Attacks
本稿では、攻撃者のサービスプロバイダーにフィルタリング責任を押し付けることで、DDoS攻撃のリアルタイム緩和を可能にするスケーラブルで安全かつ自動的なフィルタープロパゲーションプロトコル、AITF(Active Internet Traffic Filtering)を提案する。この手法は、ルーターリソースを限定的に使用しながら保護を確保し、悪意あるノードによる乱用を防止する。また、トラッキングを活用してフィルタリング要求を効率的に送信元のエッジに届けることで、インターネットの成長に伴うスケーリングを実現する。
Denial of Service (DoS) attacks are one of the most challenging threats to Internet security. An attacker typically compromises a large number of vulnerable hosts and uses them to flood the victim's site with malicious traffic, clogging its tail circuit and interfering with normal traffic. At present, the network operator of a site under attack has no other resolution but to respond manually by inserting filters in the appropriate edge routers to drop attack traffic. However, as DoS attacks become increasingly sophisticated, manual filter propagation becomes unacceptably slow or even infeasible. In this paper, we present Active Internet Traffic Filtering, a new automatic filter propagation protocol. We argue that this system provides a guaranteed, significant level of protection against DoS attacks in exchange for a reasonable, bounded amount of router resources. We also argue that the proposed system cannot be abused by a malicious node to interfere with normal Internet operation. Finally, we argue that it retains its efficiency in the face of continued Internet growth.
研究の動機と目的
- 高度なDDoS攻撃発生時における、手動で行うにあたり遅く不実行可能なフィルタプロパゲーションの増大する課題に対処すること。
- ルーターリソースを限定的に使用しながらも、顕著な保護を保証する自動的なフィルタプロパゲーションメカニズムを設計すること。
- 悪意あるノードが正当なトラフィックを遮断するのを防ぐことで、システムの安全性を確保すること。
- フィルタプロパゲーションのホップ数を最小限に抑え、攻撃者側のプロバイダーにフィルタリングをオフロードすることで、インターネットの成長に伴う効率的なスケーリングを実現すること。
提案手法
- 被害者がゲートウェイにフィルタリング要求を送信し、その要求がトラッキングを用いて攻撃者のゲートウェイに向けて伝搬される。
- 各ルーターは、要求者が悪意のあるトラフィックと同じ経路上にあることを検証することで、なりすましや乱用を防ぐ。
- フィルタは、攻撃者のゲートウェイまたは攻撃者側のサービスプロバイダーのエッジでのみ適用され、ホップ数とルーターリソースの使用量が最小限に抑えられる。
- クライアントとサービスプロバイダー間のフィルタリング契約を強制し、最大リクエストレート(R1、R2)を指定し、必要なフィルタ数を n_v = R1·T_tmp ≪ N_v に制限する。
- 既存のトラッキングメカニズム(例:[SWKA00])を活用して攻撃者の経路を特定し、フィルタリングを送信元に近い場所に効率的に適用する。
- ホップバイホッププロパゲーションに依存せず、すでに被害者の制御下にあるフローにのみフィルタリングが適用されることを保証する。
実験結果
リサーチクエスチョン
- RQ1自動フィルタプロパゲーションシステムは、手動手法よりも速く信頼性の高い方法でDDoS攻撃を緩和できるか?
- RQ2悪意あるノードが要求を偽装して正当なトラフィックを遮断するのを防ぐには、どのようにして安全にフィルタリングを適用できるか?
- RQ3各ルーターでのリソース使用量を限定的に保ちながら、インターネットの成長に伴うスケーリングは可能か?
- RQ4ホップバイホッププロパゲーションに依存せずに、フィルタリングが攻撃元に近い場所に適用されるようにするには、どのようなメカニズムが必要か?
- RQ5クライアントとプロバイダー間のフィルタリング契約は、最小限のリソースオーバーヘッドで保護を保証できるか?
主な発見
- AITFは、フィルタプロパゲーションを被害者、被害者のゲートウェイ、攻撃者のゲートウェイ、攻撃者という4つのノードに限定することで、ホップバイホップ手法に比べて著しくスケーラビリティが向上する。
- システムは、n_v = R1·T_tmp 個のフィルタを用いて、N_v = R1·T 個の不正なフローに対する保護を保証する。ここで T_tmp ≪ T であるため、リソース使用量が限定的であることが保証される。
- フィルタリング要求は経路整合性に基づいて検証されるため、悪意あるノードが経路を制御しない限り、正当なトラフィックを妨害することは不可能である。
- プロトコルは、被害者またはそのゲートウェイのみがフィルタリングを開始でき、かつすでに同じ経路上にあるトラフィックにのみ適用されることを保証することで、乱用を防止する。
- 攻撃者のサービスプロバイダーにフィルタリングを移管することで、バックボーンルーターの負荷を最小限に抑え、インターネットの成長に伴う効率的なスケーリングが実現する。
- 多数のインフラが信頼できる限り、一部のルーターが改ざんされてもシステムは依然として効果を発揮する。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。