Skip to main content
QUICK REVIEW

[논문 리뷰] NetFence: Preventing Internet Denial of Service from Inside Out

Xin Liu, Xiaowei Yang|arXiv (Cornell University)|2010. 08. 31.
Network Traffic and Congestion Control참고 문헌 33인용 수 23
한 줄 요약

NetFence는 블로킹 라우터에서 별도의 호스트 수준 상태를 유지하지 않으면서도 공정한 대역폭 공유를 보장하는 확장 가능한 네트워크 기반 DoS 방어 아키텍처이다. 이는 위조 불가능한 혼잡도 경찰 피드백을 사용하여 작동하며, 공격자 간의 공모가 발생하더라도 정상적인 송신자가 공정한 대역폭을 확보할 수 있도록 한다. 상태 정보는 호스트 수준에서 자율 시스템(AS) 수준으로 줄여 확장성을 향상시킨다.

ABSTRACT

Denial of Service (DoS) attacks frequently happen on the Internet, paralyzing Internet services and causing millions of dollars of financial loss. This work presents NetFence, a scalable DoS-resistant network architecture. NetFence uses a novel mechanism, secure congestion policing feedback, to enable robust congestion policing inside the network. Bottleneck routers update the feedback in packet headers to signal congestion, and access routers use it to police senders' traffic. Targeted DoS victims can use the secure congestion policing feedback as capability tokens to suppress unwanted traffic. When compromised senders and receivers organize into pairs to congest a network link, NetFence provably guarantees a legitimate sender its fair share of network resources without keeping per-host state at the congested link. We use a Linux implementation, ns-2 simulations, and theoretical analysis to show that NetFence is an effective and scalable DoS solution: it reduces the amount of state maintained by a congested router from per-host to at most per-(Autonomous System).

연구 동기 및 목표

  • 혼잡한 라우터에서 별도의 호스트 수준 상태를 기반으로 하는 기존 DoS 방어 기법의 확장성 및 내구성 한계를 해결한다.
  • 대규모 플러딩 공격, 특히 손상된 송신자와 수신자 간의 공모를 포함한 네트워크 수준의 방어 아키텍처를 설계한다.
  • 피해자가 위조 불가능한 피드백을 능력 토큰으로 사용하여 악성 트래픽을 억제할 수 있도록 하여, 신뢰할 수 있는 종단 호스트 하드웨어 없이도 내구성을 향상시킨다.
  • 블로킹 라우터에서 유지하는 상태를 호스트 수준에서 자율 시스템(AS) 수준으로 줄여 확장성을 향상시킨다.
  • 공격자가 송신자와 수신자 모두를 손상시켜 공모하는 악성 조건에서도 대역폭 할당의 공정성과 내구성을 보장한다.

제안 방법

  • 안정적인 혼잡도 경찰 피드백 도입: 블로킹 라우터가 실제 링크 혼잡도를 기반으로 패킷 헤더에 위조 불가능한 혼잡 신호를 삽입한다.
  • 네트워크 외연의 액세스 라우터가 피드백을 기반으로 트래픽을 경찰 처리하여, (송신자, 블로킹 링크) 쌍 별로 비율 제한을 시행한다.
  • 피드백을 능력 토큰으로 활용: 피해자는 악성 송신자에게 피드백을 반환하지 않음으로써 공격 트래픽을 억제한다.
  • 피드백 생성이 블로킹 라우터에서 이루어지고, 액세스 라우터에서 시행되는 폐쇄형 루프 혼잡도 경찰 아키텍처를 구현한다.
  • 액세스 라우터가 손상된 경우를 대비해 AS 수준의 비율 제한을 실패 보호 장치로 사용하여 피해를 개별 AS로 국한시킨다.
  • 송신자 대기 시간을 사용해 패킷 우선순위를 설정하는 비율 제한 알고리즘을 설계하여, 작업 증명이나 동기화가 필요 없이도 최종적으로 패킷이 도착하도록 보장한다.

실험 결과

연구 질문

  • RQ1블로킹 라우터에서 별도의 호스트 수준 상태를 유지하지 않으면서도, DoS 플러딩 상황에서 송신자 간 공정성 원칙을 네트워크 아키텍처가 보장할 수 있는가?
  • RQ2위조 불가능한 혼잡도 피드백를 능력 토큰으로 사용하여, 악성 송신자와 수신자가 존재하는 상황에서 피해자가 불필요한 트래픽을 억제할 수 있는가?
  • RQ3상태 및 계산 오버헤드 측면에서, NetFence는 호스트 수준 대기열 또는 필터링 기반 기법과 비교해 어떻게 확장 가능한가?
  • RQ4피드백 메커니즘과 경찰 로직의 성능 영향은 네트워크 대역폭과 지연 시간에 어떤 영향을 미치는가?
  • RQ5송신자와 수신자가 모두 손상되고 공모하여 링크를 플러딩하는 상황에서도 시스템이 공정성과 내구성을 유지할 수 있는가?

주요 결과

  • NetFence는 블로킹 라우터에서 별도의 호스트 수준 상태 없이도, 정상 또는 악성 송신자 모두에게 공정한 블로킹 대역폭을 보장한다.
  • 시스템은 혼잡한 라우터에서 유지하는 상태를 호스트 수준에서 최대한 AS 수준으로 줄여 확장성을 크게 향상시킨다.
  • 리눅스 프로토타입은 패킷당 처리 오버헤드가 매우 낮으며, 블로킹 라우터에서 패킷당 $O(1)$의 계산 비용을 기록한다.
  • 시뮬레이션 결과 NetFence는 최신 능력 기반 및 필터링 + 공정 대기열 기반 DoS 방어 시스템과 유사한 성능을 보였다.
  • 안정적인 혼잡도 경찰 피드백는 위조가 불가능하여, 공격자가 피드백을 조작해 불공정한 대역폭 할당을 얻는 것을 방지한다.
  • 액세스 라우터가 손상된 경우에도 AS 수준의 비율 제한이 피해를 영향을 받는 AS로 국한시켜 실패 보호 행동을 보장한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.