Skip to main content
Nubint
QUICK REVIEW

[论文解读] Active Internet Traffic Filtering: Real-time Response to Denial of Service Attacks

Katerina Argyraki, David R. Cheriton|arXiv (Cornell University)|Sep 29, 2003
Network Security and Intrusion Detection参考文献 13被引用 165
一句话总结

本文提出AITF(主动互联网流量过滤),一种可扩展、安全且自动的过滤传播协议,通过将过滤责任推送给攻击者的服务提供商,实现实时DDoS攻击缓解。该协议确保在路由器资源有限的情况下提供保护,防止恶意节点滥用,并通过利用追踪溯源技术,高效地将过滤请求路由至源点边缘,从而随互联网增长而扩展。

ABSTRACT

Denial of Service (DoS) attacks are one of the most challenging threats to Internet security. An attacker typically compromises a large number of vulnerable hosts and uses them to flood the victim's site with malicious traffic, clogging its tail circuit and interfering with normal traffic. At present, the network operator of a site under attack has no other resolution but to respond manually by inserting filters in the appropriate edge routers to drop attack traffic. However, as DoS attacks become increasingly sophisticated, manual filter propagation becomes unacceptably slow or even infeasible. In this paper, we present Active Internet Traffic Filtering, a new automatic filter propagation protocol. We argue that this system provides a guaranteed, significant level of protection against DoS attacks in exchange for a reasonable, bounded amount of router resources. We also argue that the proposed system cannot be abused by a malicious node to interfere with normal Internet operation. Finally, we argue that it retains its efficiency in the face of continued Internet growth.

研究动机与目标

  • 解决在复杂DDoS攻击期间手动、缓慢且不可行的过滤传播问题。
  • 设计一种自动过滤传播机制,确保在路由器资源有限的情况下提供显著保护。
  • 通过防止恶意节点滥用系统来阻断合法流量,确保安全性。
  • 通过最小化过滤传播跳数并将其过滤任务卸载至攻击者侧服务提供商,实现与互联网增长的高效扩展。

提出的方法

  • 受害者向其网关发起过滤请求,网关随后使用追踪溯源技术识别源路径,将请求向攻击者网关传播。
  • 每个路由器通过验证请求发起方是否与恶意流量位于同一条路径上,来确保请求的有效性,防止伪造或滥用。
  • 仅在攻击者网关或其服务提供商边缘应用过滤,最大限度减少跳数和路由器资源使用。
  • 系统在客户端与服务提供商之间强制执行过滤协议,规定最大请求速率(R1, R2),并将所需过滤器数量限制为n_v = R1·T_tmp ≪ N_v。
  • 利用现有追踪溯源机制(例如,[SWKA00])定位攻击者路径,确保过滤在靠近源点的位置应用。
  • 协议确保仅对受害者已控制的流量进行过滤,防止对其他流量造成意外干扰。

实验结果

研究问题

  • RQ1自动过滤传播系统是否能比人工方法更快、更可靠地缓解DDoS攻击?
  • RQ2如何在不允许可信节点伪造请求并干扰合法流量的前提下,安全地应用过滤?
  • RQ3该系统能否在保持每个路由器资源使用量受限的前提下,随互联网增长而扩展?
  • RQ4通过何种机制可确保过滤在靠近攻击者源点的位置应用,而无需依赖逐跳传播?
  • RQ5客户端与服务提供商之间的过滤协议如何在最小资源开销下保证保护效果?

主要发现

  • AITF将过滤传播减少至仅四个节点——受害者、受害者网关、攻击者网关和攻击者,显著优于逐跳方法的可扩展性。
  • 系统仅使用n_v = R1·T_tmp个过滤器,即可对N_v = R1·T个不需要的流量提供保护,其中T_tmp ≪ T,确保资源使用量受限。
  • 过滤请求基于路径一致性进行验证,使得恶意节点无法在不控制流量路径的情况下干扰合法流量。
  • 协议通过确保仅受害者或其网关可发起过滤,且仅针对同一条路径上的流量,防止滥用。
  • 通过将过滤任务推送给攻击者的服务提供商,AITF最小化了骨干路由器的负载,并随互联网增长高效扩展。
  • 即使部分路由器被攻破,只要多数基础设施仍可信,系统仍能保持有效。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。