Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
Peter Hillmann 1
Strategie zur Verfolgung einzelner
IP-Pakete zur Datenflussanalyse
Peter Hillmann
Institut für Technische InformatikFakultät für Informatik
Peter Hillmann 3
Gliederung
1. Motivation
2. Anforderungen
3. Neuer Ansatz: Tracemax
4. Evaluation
5. Zusammenfassung
Peter Hillmann 4
1. Motivation
Steigende Anzahl
und Qualität
von Angriffen
auf IT-Systeme
Angriffe im
Kollektiv
Mehrere Quellen
und Angreifer
(z. B. DDoS)
Peter Hillmann 5
1. Problemstellung
Adäquate Abwehrnotwendig
Verursacherlokalisieren
Eindeutige,beweisbareIdentifizierungdes Angreifers
Genaue (Rück-)Verfolgung
Peter Hillmann 6
1. Anwendungsgebiet
Ziel:– Verfolgung einzelner IP Pakete– Identifizierung des Netzpfades
Annahmen– Dynamische Änderung von Routen– Verlust von Datenpaketen und Veränderung der Reihenfolge– Angreifer kann beliebige Datenpakete erzeugen (Fälschen von Headern)
Weitere Anwendungsgebiete:– Verbesserte Angriffserkennung, Zusatzinformationen für IDS/IPS– Erkennung von Covert Channels– Zonen Routing, Load-Balancing– Netzanalysen, Routing-Anomalien
Peter Hillmann 7
2. Anforderungen
Einzelpaketverfolgung
Differenzieren von mehreren Angreifern
Schnelle Pfadrekonstruktion– Kurze Angriffserkennungszeit– Präventiv einsetzbare Maßnahme
Geringe zusätzliche Netzlast (Effizienz, Kosten)
Paketverfolgung über mehr als 50 Hops– Tracert: UniBwM - Tor Project >18 Hops– Prognose 2011 [1]: Höchste Anzahl von Hops 56
[1] David Chinnery and Ben Horowitz. A Network Hub Architecture in 2011
Peter Hillmann 8
2. Stand der Wissenschaft
ICMP (Internet Control Message Protocol)
Router Stamping (Deterministisch, Probabilistisch)– Markierung im Option Field des IP Headers– Max. 9 Hops oder mehrere Pakete zur Pfadrekonstruktion
Packet Marking (Node und Edge Sampling)– Markierung am Ende des Payloads– Fehler beim Empfänger, erhöhte Netzlast
Link Testing (Input Debugging und Controlled Flodding)– Verursacht hohe Netzlast– Erfordert anhaltenden Angriff
Peter Hillmann 9
3. Neuer Ansatz: Tracemax
Initiierung– Anfrage an ISP zur Paketverfolgung über Service-Interface– Aktivierung der Paketverfolgungsstrategie
Tracemax:– Vorabplanung und Konfiguration– Markierungsschema– Pfadrekonstruktion
Markierung der Pakete auf dem PfadWo können Informationen gespeichert werden?Wie können Informationen entsprechend komprimiert werden?
Peter Hillmann 10
3. Tracemax: ID Zuweisung
Jeder physische Port einer Netzkomponente erhält eine eigene ID Orientierung an der Portnummer
IDs werden vorab vergeben
IDs sind nicht zwingend im ganzen System eindeutig
Peter Hillmann 11
3. Tracemax: Falsche ID Zuweisung
Zwei verschiedene Nachbarknoten eines betrachteten Knoten haben unterschiedliche IDs auf eingehenden Verbindungen
Lösung: Inkrementieren einer ID auf nächst freie ID
Peter Hillmann 12
3. Tracemax: Markierungsschema
ID <= 6 Bits– Kleiner als IP-Adressen (32 Bit)
– Exakte Größe ist situationsabhängig
– Es lassen sich viele IDs in das
Option Field speichern
Markierung im Option Field des IP-Headers (max 40 Byte)Keine störenden Nebeneffekte
Markierung eines Paketes vor der Weitergabemit ID des Ausgangs-Interfaces
Peter Hillmann 13
3. Tracemax: Rekonstruktion
Empfänger: Extraktion der IDs aus dem Header
Letzter markierter Knoten muss bekannt sein(Empfänger oder IP Adresse des Endpunktes vermerken)
Reihenfolge definiert die passierten Netzknoten
Korrelation der ID Sequenz mitder Netzinfrastruktur
Ermittlung des Pfades rückwärts
Beispiel ID Sequenz: 23323
Peter Hillmann 14
3. Tracemax: Weiteres
Löschung des Option Field bei Eingang ins Tracemax Netz Speicherplatz für die IDs
Option Type mit variabler Länge (8 Bit + 8 Bit):– 1 Bit Copy Flag (Fragmentierung)– 2 Bits Option Class (Control, Debug, Measurement = 102)– 5 Bits Option Number (Unassigned number)– 8 Bits Length (max. Wert 4010)
Einhaltung der Formatierung ist notwendig– Fehlerhaft geformte Pakete– Verwechslung mit anderen Option Parameter (einige werden geblockt)
• Loses Sender-Routing
• Striktes Sender-Routing
Peter Hillmann 15
4. Evaluation
Prototypische Implementierung mittels Scapy in Python
Virtualisierte Testumgebung
Wireshark zur Paketaufzeichnung
Peter Hillmann 16
5. Zusammenfassung
Tracemax– Verfolgung einzelner Pakete– Paketverfolgung über viele Hops und lange Pfade– Kein Nebeneffekt auf Nutzdaten– Einfach realisierbar, präventiv einsetzbar– Keine Veröffentlichung von Informationen über Netztopologie– Geringe zusätzliche Netzlast, gute Skalierbarkeit– Identifizierung von mehreren Sendern und variierenden Routen
Ausblick– Flexibilisieren der flächendeckenden Konfiguration– Analyse des Verhaltens bei konkurrierenden Anwendungen
bzgl. des Option Field– Einreichung als RFC– IPv6
Peter Hillmann 17
Vielen Dank für Ihre Aufmerksamkeit
Peter Hillmann 18
Vergleich der Strategien
Peter Hillmann 19
Tracemax: Überbrücken von Hops
Peter Hillmann 20
Tracemax: Vereinfachte IDs
Nur jede Netzkomponente erhält eine ID
Oft größere ID Nummern notwendigEindeutige Pfadrekonstruktion problematischer bei nicht
markierenden Netzkomponenten