Active Network Based DDoS Defense Young-Ju, Han Real-Time Systems Laboratory, School of Information and Communication Engineering, Sungkyunkwan University, 300 Chun-chun-dong, Changan-Gu, Suwon City Kyounggi-Do, Korea Tel: , Fax:

Agenda Introduction Background Active Network Based DDoS Defense Infrastructure Requirements & Implementation Workarounds Observations Conclusions References

Introduction 목적 distributed denial-of-service(DDoS) attack 에 대한 defensive software 의 동적 배포를 위해 active network 을 이용하는 논리적 근거와 기술을 서술 자동 침입 탐지 및 응답 (automated intrusion detection and response) 에 Active Network 을 적용하게 된 계기 새로운 방어 (defense) 소프트웨어를 빨리 배포하는데 유용 방어 소프트웨어를 네트웍상에 효과적 (effective) 이고 능률적 (efficient) 으 로 작동할 수 있는 위치로 이전시킬 수 있음 Testbed 의 prototype Secure ANTS(SANTS) 기반 active program 이 network administration boundary 를 통해 이전될 때 요구 되는 사항

Background Active Networks Mutability : Active network 의 필수 특징 “legacy” protocol(TCP/IP) 의 접근성 (access) 과 확장성 (extensibility) 정 도에 따른 분류 Class 1 : 네트웍 관리자에 의해 고정 기능 (fixed functionality) 의 도입 (introduction) 을 통해 독립적으로 확장함 예 ) router plugins Class 2 : 새로운 control task 를 지원하는 control plan 을 제공하는 좀 더 유연한 (flexible) programming environment 제공 예 ) BBN’s Active Packet, JVM Class 3 : capsule 모델에 기반하고 data plane 까지 activeness 를 확장 ANTS, PLAN, PAN

Background DDoS Attacks 서비스에 대한 합법적인 접근 (legitimate access) 를 방해하거나 막고자 하 는 목적으로 많은 다른 소스에 의해 생성되는 네트웍 패킷의 과도한 flooding 으로 인한 사이버 공격 Intruder Master DDDDDDDD Victim 제어용 공격용 Trin00 DDoS 공격의 예

Background DDoS 방어의 어려운 점 해당 서비스의 합법적인 사용에 대한 traffic 과의 구분이 어려움 attack 의 실제 address 를 숨기고 forged source address 를 사용 unwitting legitimate users 로 부터 탈취되는 attack source 가 다른 독립 적인 network 들에 널리 분산되어 있음 DDoS Defense 현재 DDoS 의 방법 관리자에 의한 export-labor-intensive manual procedure 에 의존 input debugging -> traffic mitigation procedure -> contact their upstream counterpart 의 절차를 따름

Background DDoS Defense (Cont) 현재 DDoS 의 방법의 단점 높은 기술을 가진 network 관리자 필요 time consuming not scale Automated intrusion traceback and response IDIP(Intruder Detection and Isolation Protocol) 를 기반으로 하는 CITRA(Cooperative Intrusion Traceback and Response Architecture) 로 구성 침입관련 event 를 보고하고 공격 역추적과 자동 응답 작용을 함 rate limiting 이용

Active Network Based DDoS Defense Testbed Topology & DDoS Attack video client2 Stacheldraht controller zombie b-2 zombie b-1 zombie c-1 zombie c-2 zombie d-1 zombie d-2 Org A router 4router 5 router 6 Org BOrg C Org D detector video client1 video server video client 3 management station backbone router 7router 3router 2 HIC MAP backbone UDP Flooding Streaming Video Stacheldraht Flood Congestion

Active Network Based DDoS Defense Active DDoS Defense in the Testbed video client2 Stacheldraht controller zombie b-2 zombie b-1 zombie c-1 zombie c-2 zombie d-1 zombie d-2 Org A router 4router 5 router 6 Org BOrg C Org D detector video client1 video server video client 3 management station backbone ? router 3router 2 HIC MAP backbone Rate Limiter Migration Intrusion Alert Message

Active Network Based DDoS Defense Active DDoS Defense in the Testbed 1) flooding 동안 비디오 서버의 traffic 의 급속한 증가 감지 2) detector 가 traceback 및 mitigation 요청을 자신의 CITRA neighbor (router 1, management station) 에게 전송 3) management station 은 자신과 가장 가까운 victim(router 1) 에게 active program(mobile rate limiter) 을 전송 4) router 1 에서, SANTS 인증 및 권한 검사를 한 후 mobile rate limiter 실행 rate limiting 을 실행 자신의 network interface 중 flood source 을 검사 그 interface 를 통해 바로 인접한 node(router 2, router 3 ) 에 자신의 복사본 (clone) 을 전 송 mobile rate limiter 를 수신한 노드에서 위의 과정을 반복하여 attack source 에 접근

Infrastructure Requirements & Implementation workaround AN-IDR Architecture Rate Limiter Active Program SANTS EE/Node OS JVM queue daemon Linux kernel libipq/ netfilter iptables User Kernel network I/F Addresses File I/O extensionexec pgm extension 1a1a 1b1b

Infrastructure Requirements & Implementation workaround Infrastructure Requirement Implementation Workaround Access to system programming for native IP Extensible and modular network stack Persistent rate limiting behavior Observation of individual packets and determination of flood ingress interface Reliable delivery of active code Spawn Linux processes external to EE Build and install new kernel Linux netfilter and iptables Linux netfilter and libipq Install separate out-of-band network

Observations Hybrid active infrastructure capsule model defense software 의 빠르고 유연한 배포를 제공하는 code mobility 를 제공 future network-wide IDR functions 은 semi-autonomous mobile applications 에 의해 구현되고 관리될 것임 그러나, attack 을 추적하고 defense 를 탑재 (mount) 하기 위해서는 시스템 resource 의 low-level access 와 deep extensibility 가 필요하나 capsule module 에 의해 제공되는 EE 는 legacy protocol processing access 가 부족 router plugin 가장 강력한 low-level IP functionality 에 대한 접근을 제공 deep extensibility 제공 hybrid active infrastructure = powerful and extensible systems programming facilities + mobility

Summary automated intrusion response 를 위해 capsule model 의 code mobility 를 이용한 active network-based DDoS defense prototype 을 이용 network security incident response 와 cyber warfare 와 같은 긴급 상황과 같이 software function 이 언제 필요할지, 어디서 필요할지 모르는 infra 환경 에서 Active Network infra 에 의한 code mobility 는 유리함 DDoS Defense 기술로 Mobile traffic rate limiter 를 사용 rate limiter 는 SANT 의 mobility 와 security 기능에 의존 향후 active infrastructure 는 hybrid active infrastructure 를 지향할 것임

References Sterne. D, Djahandari. K, Balupari. R, La Cholter. W, Babson. B, Wilson. B, Narasimhan. P, Purtell. A, Schnackenberg. D, Linden. S,”Active network based DDoS defense “, DARPA Active Networks Conference and Exposition, Proceedings, 2002 Murphy. S, Lewis. E, Puga. R, Watson. R, Yee. R, “Strong security for active networks “, Open Architectures and Network Programming Proceedings, 2001 IEEE, 2001 Dan Sterne, Kelly Djahandari, Brett Wilson, Bill Babson, Dan Schnackenberg, Harley Holliday, and Travis Reid, “ Autonomic Response to Distributed Denial of Service Attacks”, NAI Labs, RAID 2001 차세대 인터넷을 위한 능동 보안 백서 version 1.0, ETRI 네트웍크 보안 연구 부