Skip to main content
QUICK REVIEW

[論文レビュー] Amplification and DRDoS Attack Defense -- A Survey and New Perspectives

Fabrice J. Ryba, Matthew Orlinski|arXiv (Cornell University)|May 29, 2015
Network Security and Intrusion Detection参考文献 143被引用数 50
ひとこと要約

本論文は、アッピーレーションおよびDRDoS攻撃に関する包括的サーベイを提示し、送信元IPスプーフィング防御に注目して、予防、検出、フィルタリング技術を分析している。200件以上の研究論文を統合し、特にイングレスフィルタリングおよび分散検出が有効な戦略であることを特定。高トラフィック攻撃を緩和するための連携可能でスケーラブルな防御の必要性を強調している。

ABSTRACT

The severity of amplification attacks has grown in recent years. Since 2013 there have been at least two attacks which involved over 300Gbps of attack traffic. This paper offers an analysis of these and many other amplification attacks. We compare a wide selection of different proposals for detecting and preventing amplification attacks, as well as proposals for tracing the attackers. Since source IP spoofing plays an important part in almost all of the attacks mentioned, a survey on the state of the art in spoofing defenses is also presented. This work acts as an introduction into amplification attacks and source IP address spoofing. By combining previous works into a single comprehensive bibliography, and with our concise discussion, we hope to prevent redundant work and encourage others to find practical solutions for defending against future amplification attacks.

研究の動機と目的

  • ほぼ200件の出版物に散在するアッピーレーションおよびDRDoS攻撃に関する研究を体系化・統合すること。
  • アッピーレーション攻撃の予防、検出、フィルタリングメカニズムを分析・比較すること。
  • 送信元IPスプーフィング防御の有効性を評価すること、特にイングレスフィルタリングおよびトレースバック技術を含む。
  • 現在の防御におけるギャップを特定し、スケーラブルで協働的な緩和のための今後の研究方向性を提案すること。
  • コスト、メモリオーバーヘッド、AS間連携などの実証的基準を用いて防御を評価することで、実装支援をすること。

提案手法

  • プロトコルタイプ(例:DNS、NTP)および攻撃ベクトル(リフレクション、増幅、スプーフィング)に基づいてアッピーレーション攻撃を分類すること。
  • イングレスフィルタリング、DNSSEC、パブリックサービスの設定ハードニングなどの予防策をサーベイ・比較すること。
  • パケットマーキング、フローモニタリング、ハニーポットベースのシグネチャ生成を含む、スプーフィング検出およびトレースバック手法を分析すること。
  • 分散アルゴリズムおよびダークネットモニタリングを用いた、早期攻撃検出のための反応型検出およびフィルタリング技術を評価すること。
  • 実世界の事例(例:Spamhaus攻撃)および監視プロジェクトからの実証データを通じて、大規模な展開の可能性を評価すること。
  • 金銭的コスト、メモリオーバーヘッド、AS間協調要件などの基準を用いて防御をベンチマークすること。

実験結果

リサーチクエスチョン

  • RQ1UDPベースのプロトコルにおいて、さまざまなアッピーレーション攻撃ベクトルの間で、主な技術的・アーキテクチャ的差異は何か?
  • RQ2特にイングレスフィルタリングおよびスプーフィング検出は、スケール上でアッピーレーション攻撃を防ぐのにどの程度有効か?
  • RQ3実世界のネットワーク展開において、反応型検出およびフィルタリングメカニズムの実用的制限は何か?
  • RQ4ハニーポットおよびダークネットモニタリングは、攻撃前のスキャン行動を検出・特徴付けるためにどのように活用できるか?
  • RQ5コスト、パフォーマンス、プロバイダ間協力の観点から、防御メカニズムの選定をガイドする基準は何か?

主な発見

  • オープンDNSリゾルバおよびNTPサーバーを用いたアッピーレーション攻撃は、攻撃者の初期リクエストの数百倍ものトラフィック量を発生させることができ、ピーク攻撃規模は数百Gbpsを超えることがある。
  • 2013年のSpamhaus DDoS攻撃では1000Gbpsを超える規模に達し、リフレクションおよび増幅による極めて大きな攻撃の実現可能性を示している。
  • オープンリゾルバのスキャンは、主な攻撃の前触れとなることが多く、攻撃発生前にダークネットトラフィックに顕著な増加が観察される。これは攻撃前準備の痕跡である。
  • ハニーポットはスキャン活動を効果的に記録でき、悪意のあるDNSドメインなどの攻撃トラフィックのシグネチャを生成し、早期検出を可能にする。
  • 分散検出およびフィルタリングアルゴリズムは、被害者がオフラインであっても攻撃を緩和する可能性を示しているが、現状よりもさらにAS間連携が進む必要がある。
  • Open Resolver Scanning Project や Open NTP Project などの取り組みは、脆弱なサービスを特定するのに役立っているが、緩和策の広範な展開はまだ限定的である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。