JP2009528797A - インターネットプロトコル(ip)トレースバックのための、自律システムベースのエッジマーキング(asem) - Google Patents
インターネットプロトコル(ip)トレースバックのための、自律システムベースのエッジマーキング(asem) Download PDFInfo
- Publication number
- JP2009528797A JP2009528797A JP2008557497A JP2008557497A JP2009528797A JP 2009528797 A JP2009528797 A JP 2009528797A JP 2008557497 A JP2008557497 A JP 2008557497A JP 2008557497 A JP2008557497 A JP 2008557497A JP 2009528797 A JP2009528797 A JP 2009528797A
- Authority
- JP
- Japan
- Prior art keywords
- marking
- router
- packets
- information
- asem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
【課題】インターネットプロトコル(IP)トレースバックのための、自律システムベースのエッジマーキング(ASEM)の提供。
【解決手段】実施形態は、インターネットプロトコル(IP)トレースバックのための、自律システムベースのエッジマーキング(ASEM)に関する。特に、本実施形態は、ルータにおいて1つ以上のパケットを受信し、マーキングルータにおけるパケットにのみ自律システム(AS)レベルとマーキング情報とを書き込み、マーキングされたパケットをエッジルータ及びその他のルータに検証のために転送する、IPトレースバックのためのシステム及び方法である。さらに、パケットは確率測度に基づいてマーキングされ、ボーダ・ゲートウェイ・プロトコル(BGP)ルーティングテーブル情報は、マーキング及び検証のために使用されるASレベル情報である。
【選択図】図1
【解決手段】実施形態は、インターネットプロトコル(IP)トレースバックのための、自律システムベースのエッジマーキング(ASEM)に関する。特に、本実施形態は、ルータにおいて1つ以上のパケットを受信し、マーキングルータにおけるパケットにのみ自律システム(AS)レベルとマーキング情報とを書き込み、マーキングされたパケットをエッジルータ及びその他のルータに検証のために転送する、IPトレースバックのためのシステム及び方法である。さらに、パケットは確率測度に基づいてマーキングされ、ボーダ・ゲートウェイ・プロトコル(BGP)ルーティングテーブル情報は、マーキング及び検証のために使用されるASレベル情報である。
【選択図】図1
Description
本発明は、インターネットプロトコル(IP)トレースバックのための、自律システムベースのエッジマーキング(ASEM)に関する。
ユビキタス・インターネットにより、我々の生活様式は大きく変わった。日常活動(例えば、オンラインバンキング、株式取引、及び遠隔会議)は、インターネットの性能にますます依存している。インターネット上での軍事通信及び金融取引のためのネットワークセキュリティは、特に重大な懸案事項である。致命的なサービス妨害(Denial of Service:DoS)攻撃や、その進化形である分散DoS(Distributed DoS:DDoS)攻撃の出現によって、我々のインターネットの利用やインターネットへの信頼が迷惑にも侵害されている。Yahoo、CNN、Ebay、及びAmazon等の知名度の高いサイトにおいてでさえ、DoS/DDoS攻撃の悪影響が何度も生じている。
特に、DDoS攻撃は、ネットワークセキュリティに深刻な脅威を与える。DDoS攻撃において、アタッカーは大量の悪質なトラフィックを被害者に送信する。例えば、DDoSアタッカーは、インターネットに接続されたコンピュータシステムを介して、様々なデータセンターにおける1つ又は複数のコンピュータに侵入することもある。多くの場合、アタッカーはインターネットサービスプロバイダ(ISP)を介してインターネットにアクセスするだろう。その後、アタッカーは、悪質なソフトウェアプログラムを用いてデータセンターの複数のコンピュータを制御下に置くことができる。アタッカーがコマンドを出すと、これらのコンピュータは様々なタイミングで大量のデータを一斉に被害者に送信できるため、被害者は正規のインターネットトラフィックやメッセージに応答できなくなってしまう。
インターネットプロトコル(IP)トレースバック方式は、DDoSに対抗するために用いられる。IPトレースバック方式としては、インターネット上のパケットの送信元を確実に突き止めるための任意の方法が挙げられる。しかしながら、IPパケット内で供給される送信元IDは、上述のDDoS攻撃用に偽造(即ち、IPスプーフィング)されている可能性があるため、インターネットのデータグラムの性質上、パケットの送信元ホストを突き止めることは困難である。
IPトレースバックは、攻撃フローを、ターゲット(即ち、被害者)から、ことによっては本質的に異なる、アタッカーによって使用される送信元までさかのぼってトレースしようとするものである。考えられるペナルティを回避し、且つよりいっそう効果的に攻撃を実行できるように、アタッカーは自身のマシンからではなく、何百ものゾンビ(即ち、乗っ取られた(subverted)ホスト)から被害者を襲撃する。次に、多くのゾンビからの攻撃トラフィックが被害者の所に集中する。従って、被害者が悪質なトラフィックをインターネット上の正規のトラフィックから区別することは、不可能ではないにしても非常に困難である。
背景技術のIPトレースバック方式の欠点としては、以下に限定されないが、高い計算負荷、高い誤報率、及びスケーラビリティが挙げられる。少なくとも上述の理由により、背景技術のIPトレースバック方式は非効率的であり、且つ多くの場合非実用的である。従って、DDoS攻撃発信元を識別し、インターネットを保護する手段を確立するために、IPトレースバックの技術分野での改良が求められている。
実施形態は、背景技術が直面する上記問題、及びその他の問題を克服することを目的とする。特に実施形態は、非常に短い時間内で、且つ低い複雑性で、何千もの攻撃発信元を効果的且つ堅牢にトレースする方法を提供する。
実施形態としては、以下に限定されないが、インターネットプロトコルトレースバックのための、自律システムベースのエッジマーキング(ASEM)が挙げられる。インターネットにおいて、自律システム(AS)は、共通のルーティングポリシーをインターネットに提示する1つ以上のエンティティの制御下にあるインターネットプロトコル(IP)ネットワークやルータの集まりである。インターネットプロトコル(IP)は、パケット交換インターネットワークにわたってデータを伝達するのに使用されるデータ指向プロトコルである。
ASEMの実施形態は、背景技術の高い計算負荷と高い誤報率とを低減することができるように十分に最適化されている。更に、背景技術とは対照的に、実施形態は、IPスプーフィングや乗っ取られたルータに対してより堅牢である。実施形態では、背景技術と比較してトレース手順が簡略化されているが、その理由は、(1)リンケージ情報の使用により、経路再構築を迅速且つ正確に完了することができ、(2)攻撃発信元を突き止めるために必要なパケットがはるかに少ないためである。
実施形態は、自律システム(AS)レベルでのIPトレースバックのための新たなマーキング方式を提供し、上述のように、IPトレースバックのための、ASベースのエッジマーキング(ASEM)と呼ばれる。文献:M.Goodrich,Efficient packet marking for large−scale IP traceback,9th ACM conf.on computer and communications security,2002,pp.117−126で開示されているような、背景技術のIPトレースバック方式は、各ルータのIPアドレス情報を使用して、攻撃経路をホップバイホップで再構築する。
確率的パケットマーキング(Probabilistic Packet Marking:PPM)と呼ばれる、背景技術のIPトレースバック方式と同様に、ASEMの実施形態では、攻撃経路に沿ったルータが、所定の確率に従ってパケットをマーキングする。しかしながら背景技術とは異なり、ASEM方法は、PPMに優る以下のような利点を有する:(1)各ASの入口(ingress)エッジルータのみがマーキングを行う;(2)全てのルータにおいて、上流のルータのいずれかによって既にマーキングされたパケットをリマーキングすることは禁止されている;(3)マーキング情報は、通過した各ルータのIPアドレスではなく、AS番号(ASN)である。
更に、ASEMは、被害者にかかる圧倒的な計算負荷を大幅に軽減する。ASEMのこの利点を数値化するため、本発明における解析では、それぞれ本質的に異なるトレースバック方式を評価する際に、経路再構築に必要なマーキングされたパケットの数という測定基準を使用する。この測定基準を以下の実験例においてガイドラインとして使用し、計算オーバヘッドを軽減するための2つの異なる方法を比較する。
上述のASEMの利点によって、再構築のために必要なパケットの数が減少するだけでなく、スプーフィングされたマーキングがアタッカーによって書き込まれるという脅威もまた完全に取り除かれる。更にASEMでは、下流のAS内の入口エッジルータが、それらに隣接する、上流のAS内の入口エッジルータからのマーキング情報の正当性を検査することができるので、乗っ取られたルータによってもたらされるスプーフィングされたマーキングに対処することが可能である。更に、誤検出は効果的に抑制され、ASEMの実施形態は、IPトレースバックのためのASEMが大規模なDDoS攻撃に対処することができるという点で、PPMより性能が優れている。その上、インターネットの、べき乗則の関係により、ASEMの実施形態は部分的に導入された場合でも効果を奏する。
ASEMの実施形態において、経路長は、攻撃発信元と被害者との間でマーキングを行う資格のあるルータの数として定義される。PPMでは、攻撃経路に沿った全てのルータが、通過していくパケットをマーキングすることができるため、経路に沿った全てのルータに資格があることに留意されたい。対照的に、ASEMの実施形態では、各ASの入口エッジルータのみに、マーキングを実行する許可(即ち、資格)が与えられ、本発明の方式における経路長は、PPMにおけるようなホップバイホップではなく、ASレベルのものである。
ASEMの実施形態は、IPトレースバックにおいてインターネット階層がほとんど使用されないということに着目して開発することができる。自律システム(AS)は、そのインターネット階層の重要な構成要素である。通常、ASは、全管理ドメイン内で一貫したルーティングポリシーを強制可能な単一のエンティティによって統制される。しかしながら、各種AS間では、管理ポリシーは著しく異なっていることがある。
ボーダ・ゲートウェイ・プロトコル(Border Gateway Protocol:BGP)は、インターネットのコアルーティングプロトコルである。特に、BGPルーティングは、AS間ルーティングの事実上の標準である。BGPは、自律システム間のネットワーク到達可能性を指定するIPネットワーク、即ち「プレフィックス」のテーブルを維持することで動作する。BGPルーティングにおいて使用するために、各ASには一意のAS番号(ASN)が割り当てられる。AS番号はインターネット上の各ネットワークを一意的に識別できるため、BGPではASNが重要である。複数の自律システム(AS)が、経路到達可能情報を交換する上でBGPに依存しており、このタスクはBGPスピーカと呼ばれる少数のルータによって行われる。BGPルーティングを用いるASの3つの有利な特性について、以下のパラグラフで説明する。
図1に示されるように、複数の自律システムAS1、AS2、AS3、AS4は、アタッカーA1、A2、A3、A4の配下にあり、被害者Vを有している。エッジルータ、マーキングルータ、その他のルータ、AS経路、及びホップバイホップ経路は、図1の凡例に表される記号により示されている。ASの第1の有利な特性は、AS経路が、対応するIP経路よりもはるかに短いということである。例えば、図1に示されるように、被害者Vに到達するのに、A1からの攻撃IP経路は8ホップを要し、A2からの攻撃IP経路は7ホップを要する。対照的に、攻撃AS経路は、各場合においてわずか3「ホップ」である。
上記例において、ASレベルでのルーティングホップでは経路長がはるかに安定しているという点で、ASの第2の有利な特性が更に示される。即ち、各場合でのASレベル経路についての経路長が、3「ホップ」であったのに対して、IPレベルの場合は、8及び7「ホップ」が必要とされた。
BGPルーティングを使用するASの第3の有利な特性は、上記BGPルーティングがASPATH属性と呼ばれるメッセージを生成することである。ASPATHは、所与の宛先に到達する前に通過したASの順序付きリストを提供する。図2は、複数の自律システムAS1239、AS1129、AS1755、AS3549、AS6341、AS7018、AS12654を示す。ASPATH属性メッセージの一例が、図2において、AS6341に属するIPアドレス(即ち、135.207.0.0/16)とともに示されている。図2に示されるように、AS12654内のBGPスピーカが、IPアドレスプレフィックス135.207.0.0/16についての2組のルーティング情報を受信すると仮定する。即ち、AS1129から所与の宛先へのBGPルーティング情報の一組は、ASPATH属性「1129 1755 1239 7018 6341」を有し、もう一組のBGPルーティング情報は、ASPATH属性「3549 7018 6341」を有する。更に、後者の組のほうが短いため、AS12654内のBGPスピーカは、そのルーティングテーブル内に後者のASPATHを保持してもよい。
上記の特性は、(1)ASPATH属性は「6341」で終わっているため、IPアドレスプレフィックス135.207.0.0/16はAS6341内に位置しているということ、及び(2)135.207.0.0〜135.207.255.255の範囲の宛先アドレスを有するパケットは、AS3549を経由してAS7018に渡り、そしてAS7018を経由してAS6341に渡る(即ち、この範囲内に他のいかなるプレフィックスも存在しないと仮定する。つまり、135.207.1.0/24等のプレフィックスが、同じBGPルーティングテーブル内に存在しないと仮定する)ということを意味している。
上記の3つの特性は、ASEMの実施形態によって活用される。第1の有利な特性は、送信元から宛先までの「ホップ」数が少ないことを意味し、よってASEMにおける経路再構築に必要なマーキングされたパケット数が少なくなる。即ち、ASEMを使用して攻撃経路を復元する上で、ASEMを使用する被害者Vは、PPMを使用する場合よりも少ない数のマーキングされたパケットを受信すれば済む。従ってASEMは、背景技術のPPM方式の性能を大幅に上回ることができる。
ASEMでは考慮される必要がある経路が少なくて済むことから、第2の特性により経路再構築が簡略化される。従ってASEMにおいて被害者Vは、背景技術のPPM方式においては避けられない、組み合わせ爆発(combinatorial explosion)の問題から解放される。
最後に、ASPATH属性がマーキングのために使用される場合、第3の特性を使用して、ASEMの実施形態におけるマーキング及びマーキング検証(marking verification)手順を背景技術のPPM方式よりも簡略化することが可能である。即ち、BGPルーティングを用いることで、下流のマーキングルータである、ASbのRb(例えば、図2のAS7018)からのマーキング情報は、その隣接する上流のマーキングルータである、ASaのRa(例えば、図2のAS3549)により埋め込まれたマーキングの正当性を検証することができる。これは、上流のマーキングルータRaのASPATH属性が、下流のマーキングルータRbのASNと、下流のマーキングルータRbのASPATH属性との連結となるはずだからである(即ち、ASPATH(ASa)=Concatenate(ASb,ASPATH(ASb))。
例えば、図2に示されるように、ASb(AS7018)は、ASa(AS3549)の下流側で隣接している。不一致が見つかった場合、上流のマーキングルータは、スプーフィングされたマーキングを有するそれらのパケットをフィルタリングするか、又は破棄することができる。つまり、送信元srcから宛先dstへの経路が、ASレベルでASa、ASb、ASc、ASd、ASeを通過すると仮定する。dstまでの、上記の各ASのASPATH属性は、それぞれ「ASbAScASdASe」、「AScASdASe」、「ASdASe」、「ASe」、「・」である。宛先dstは最後のASe内にあり、そこではEGPルーティングプロトコル(例えば、BGP)ではなく、IGPルーティングプロトコルのみが使用されるため、「・」を使用することで最後のASを示す。
ASEMの実施形態では、各ASにおけるマーキング情報としてASPATH属性が使用される場合、下流のマーキングルータASbからのマーキング情報を使用して、その上流の隣接するASaのマーキングルータのマーキング情報の正当性を検証することができる。ASEMの実施形態では、ASPATH属性を記憶するのに、16ビットしか使用されないため、現在のASのASNとASPATH属性内の全てのASNとにXOR演算を使用し、最終結果をAS_PATH内に記録する。ASa上流マーキングルータにおいて、dstについてのマーキング情報は、
であり、ここで、
は排他的OR演算子である。下流マーキングルータASbにおいて、dstについてのマーキング情報は、
である。従って、ASEMの実施形態は、
という関係を有する。この関係は、全ての隣接するASについて成り立つ。
上記の例として、パケットのフローが、135.207.x.yにおけるホストを攻撃していると仮定する。図2に示されるように、上流のマーキングルータAS3549におけるマーキングは、その場合、「3549 7018 6341」であり、下流のマーキングルータAS7018におけるマーキングは「7018 6341」である。従って、上流のマーキングルータAS3549にとって、その下流の隣接するAS7018からのマーキング情報が正しいか、(例えば、スプーフィングが原因で)正しくないかを判定するのは容易である。なぜなら、これら2つのASのマーキングにおける違いは、現在のルータAS3549のAS番号(ASN)のみであるはずだからである。ASPATH属性を記録するのに、16ビットしか使用しないため、何らかの変換が含まれてもよい。
図3は、第1の入口エッジ又はマーキングルータRにおけるマーキング手順についての疑似コードのフローチャートを示す。疑似コードは、以下のように表される:
図4は、エッジルータ及びその他のルータSにおける、マーキング及びマーキング検証の方法についての疑似コードのフローチャートを示す。疑似コードは、以下のように表される:
以下に、ASEMの実施形態について可能ないくつかの仮定を挙げる。
(1)アタッカーは任意のパケットを生成する可能性がある;
(2)アタッカーはトレース方式を知っている可能性がある;
(3)攻撃は、少なくとも数十のパケットで構成される;
(4)乗っ取られるルータがあるとしても、乗っ取られる可能性があるのは少数のみであり、且つ、乗っ取られたルータは隣接していない;
(5)ASの入口エッジルータのいずれもが、そのドメインのBGPルーティング情報を共有する;
(6)AS経路はかなり安定している;
(7)いかなるAS経路の長さも限られている。
(1)アタッカーは任意のパケットを生成する可能性がある;
(2)アタッカーはトレース方式を知っている可能性がある;
(3)攻撃は、少なくとも数十のパケットで構成される;
(4)乗っ取られるルータがあるとしても、乗っ取られる可能性があるのは少数のみであり、且つ、乗っ取られたルータは隣接していない;
(5)ASの入口エッジルータのいずれもが、そのドメインのBGPルーティング情報を共有する;
(6)AS経路はかなり安定している;
(7)いかなるAS経路の長さも限られている。
仮定(1)及び(2)は、アタッカーはゾンビに対してルート特権を有する可能性があり、且つ、アタッカーが望む任意のパケット(スプーフィングされたマーキングを含む)を意図的に生成する可能性があるという事実を表している。仮定(3)は、ASEMの実施形態が、主流のDoS/DDoS攻撃パターンであるフラッドベースの攻撃に対して考案されていることを示す。
背景技術とは対照的に、ASEMの実施形態は、アタッカー、及び危殆化した(compromised)ルータの両方からのスプーフィングされたマーキングという難題に対処する。(4)では、危殆化したルータは隣接していないと仮定している。ルータを乗っ取る技術的ハードルを考慮すると、この仮定は許容可能である。(5)では、各AS内の全ての入口エッジルータが、同じドメイン内のBGPスピーカのBGPルーティングテーブルを共有すると仮定されている。この仮定は、BGPルーティングテーブルを記憶するために、各入口エッジルータで多少の追加メモリを要することを意味する。しかし、ASの総数は約20,000にすぎないので、この追加メモリは大きな問題ではない。
ASEMの実施形態では、入口エッジルータは、パケットを受信すると、BGPルーティングテーブルを使用してマーキング及びマーキング検査を行う。仮定(6)及び(7)は、インターネット計測によって支持されている。主要なAS経路長は3〜5であり、平均値は4である。実施形態では、AS経路長は8よりも大きくはないと仮定しており、全AS経路の約99.5%がこれを満たしている。
ASEMの実施形態では、各ASの入口エッジルータ(図1ではマーキングルータと呼ばれる)は、所定の確率に従って、通過するパケットに何らかのマーキング情報を書き込む。各ASにおいて、マーキング及び/又はマーキング検査を行うのはマーキングルータのみであり、その他全てのルータは行わないだろうということに留意されたい。
マーキングルータによってパケット上に書き込まれるマーキング情報は、4つの部分からなり、合計32ビットである。マーキング情報の第1の部分は長さ16ビットで、AS_PATHと呼ばれ、AS_PATHは、変換されたASPATH属性情報を記憶する。ASPATH属性全体が、16ビット内で記憶される。マーキング情報の第2の部分は、FALGと呼ばれるフラグであり、これは、現在のパケットがマーキングされているか(FALG=“1”)、又はマーキングされていないか(FALG=“0”)を下流のマーキングルータに伝える。
マーキング情報の第3の部分は、3ビットから成り、これはASPATH属性の長さを記録する。ASEMでは、ASPATH属性の長さを計算する際に、パディングは無視する。即ち、ASPATHが「110 2 2 2 2 317」(AS2をパディング)であると仮定すると、その長さはやはり3で、ASPATH「110 2 317」の長さと同じである。この長さ情報は、最適マーキング確率を決定するために、さらにマーキング検証のために使用できる。
マーキング情報の第4の部分は、経路に沿った第1のマーキングルータの、IPアドレスのハッシュ関数(HASHIP)である。HASHIPは、被害者Vが同じ送信元からのパケットを容易に識別できるようにリンケージ情報として使用され、これにより、経路再構築は著しく容易になり、誤検出の割合は減少する。第1のステップである、各ルータの32ビット・IPアドレスを復元するステップは、ASEMにおいて不要であるため、経路再構築の手順は既に大幅に簡略化されているということに注目されたい。
更に、HASHIPは、本質的に異なる攻撃発信元を区別する際にも使用可能であることから、今日のインターネット環境において主流となっている大規模DDoSへの対応が容易になる。更に、HASHIPの使用により、被害者Vは、そのISPの応答に依存するのではなく、攻撃トラフィックをプロアクティブにブロックすることができる。注目すべきは、これが、IPトレースバックのための、背景技術のPPM方式では不可能であり、なぜなら、1つのルータのマーキング情報はセグメント化されて、いくつかのパケットとして伝送されなければならないからである。
AS内のBGPルーティング情報をマーキング情報として使用することにより、下流のマーキングルータは、その隣接する上流のマーキングの正当性を検査することができる(即ち、上述のASPATHの属性によって)。従って、スプーフィングされたマーキングが見つかった場合、下流のマーキングルータは、スプーフィングされたマーキングを有するそれらのパケットをフィルタリングするか、又は破棄することができる。この方法に関する追加情報を、以下で更に述べる。
アタッカーによって注入された偽造マーキングに対処するために、実施形態は「リマーキング」禁止のポリシーを強制する。即ち、全ての後続のマーキングルータは、上流の任意のマーキングルータによってマーキングされたパケットには、全くリマーキングすることができない。これらの2つのアプローチを統合し、導き出された最適マーキング確率を使用することにより、実施形態は経路再構築に必要なパケット数を最小化し、同時に堅牢性を著しく向上させ、誤検出を大幅に抑制する。
実施形態は、以下のパラグラフで述べるように計算負荷を減少させる。特に、計算負荷は主として経路再構築の方法に存在する。従って、経路再構築に必要なマーキングされたパケットの総数を減らすことが肝心である。第1に、実施形態は最適マーキング確率を求めようとし、第2に、マーキングメカニズムが強化され、第3に、経路長を「短縮する」可能性が検討される。
kは、被害者vへの攻撃経路の数を表す。
である経路jにおいて、攻撃発信元とvとの間のルータの数はdjである。
は、経路jに沿った、
であるルータiのマーキング確率であるとし、
は、vによって認識される、経路jに沿ったルータiのマーキング確率であるとする。
は、
と異なっていることもあり、例えばPPMの場合、
及び
である。
Njは、経路jを通過するパケットの数を表し、
は、経路jに沿ったi番目のルータによってマーキングされ、且つvによって受信されるパケットの数を表す。言い換えると、最初にi番目のルータによってマーキングされるものの、いずれかの後続ルータによってリマーキングされるパケットは、
に算入されない。Mjは、経路jに沿ったいずれかのルータによってマーキングされ、且つvによって受信されるパケットの数を表す。PPM及びASEMでは、確率的にパケットをマーキングするので、
及びMjはランダム変数である。明らかに、
及びMjの期待値はそれぞれ、
及び
である。
PPM及びASEMの下でマーキングされたパケットの数を、直接比較することは困難である。しかしながら、攻撃パケットの数が同じであり、且つ攻撃経路が同じであると仮定すれば、それらの性能を比較できる。使用される2つの測定基準は次のようになる。
(1)マーキングされたパケットの総数の期待値
、及び(2)被害者が各ルータから少なくとも1つのマーキングされたパケットを受信する確率
である。
(1)マーキングされたパケットの総数の期待値
以下のパラグラフでは、経路再構築のためのマーキングされたパケットの数について更に述べる。特に、このパラグラフでは、経路jに沿ったマーキングされたパケットの総数の期待値について述べる。PPMでは、
である。(2)から、以下が得られる:
ASEMの設計は、全てのパケットが経路のどこかでマーキングされることを保証する。従って、スプーフィングされたマーキングを有するパケットをアタッカーが意図的に送信した場合でも、それらのスプーフィングされたマーキングは、マーキングルータの正確なマーキングによって上書きされよう。よって、アタッカーからのスプーフィングされたマーキングは、ASEMにとって問題ではない。
であるので、ASEMの場合、次のようになる:
即ち、攻撃パケットの数が同じであり、且つ経路が同じであると仮定すれば、平均して、PPMよりもASEMにおいて、被害者はより多くのマーキングされたパケットを得ることができる。その後、被害者が攻撃経路を再構築できる可能性は、PPMよりもASEMにおいての方が高い。
以下のパラグラフでは、各ルータから少なくとも1つのマーキングされたパケットを受信する確率について述べる。PPMでは、各ルータが独立してマーキングを行い、従って、
である。
即ち、
である。
(7)と組み合わせることにより、次が得られる:
不等式(9)は、任意のp(0<p<1)について成り立つ。他方、式(7)の最大値は、式(7)のpについての導関数を求めることで得ることができ、次のようになる:
p=1/dj (10)
p=1/dj (10)
よって、式(7)の最大値は、式(10)が満たされれば、到達可能である。
PPMとは異なり、被害者に関しての各ルータのマーキング確率はASEMにおいて同じであり、即ち、
である。
同様の導出に従えば、ASEMの場合、
である。
不等式(9)、並びに式(10)及び(12)から得ることができる結論は、攻撃パケットの数が同じであり、且つ経路が同じであると仮定すれば、被害者が各ルータから少なくとも1つのマーキングされたパケットを受信する確率は、PPMよりもASEMにおいての方が高いということである。
以下のパラグラフでは、経路再構築のために必要な攻撃パケットの数の推定について更に述べる。先のサブセクションでは、攻撃パケットの数が与えられた場合の、ASEM及びPPMにおける、マーキングされたパケットの数と、被害者が各ルータから少なくとも1つのマーキングされたパケットを受信する確率とについて検討している。以下では、経路再構築を成功させるために必要な攻撃パケットの数について更に検討する。
被害者が各ルータから少なくとも1つのマーキングされたパケットを受信しさえすれば、経路再構築が完了すると仮定する。このサブセクションでは、解析を簡略化するため、マーキングされたパケットの数について述べる際はそれらの期待値を指している。背景技術のIPトレースバック方式のほとんどに、同様の簡略化が見受けられる。
即ち、
である。
PPMの場合、Njの最小値は、式(15)のpについての導関数を求めることにより得ることができ、従って、p=1/djとなる。
この場合、PPMについてのNjは、
ほど低い値もあり得る。
PPMとは異なり、ASEMでは、被害者に関してのマーキング確率が各ルータにおいて同じである。式(4)を不等式(13)と組み合わせることによって、式(11)が成り立ちさえすればNjはその最小値に到達可能であるということが容易にわかる。この場合、
である。
実際、ASEMにおいて式(11)は常に成り立ち、従ってASEMは常に最適マーキング確率を使用する。不等式(18):
は理論的に常に成り立つので、ASEM及びPPMの両者が最適マーキング確率を使用する場合でさえ、経路再構築のために必要な攻撃パケットの最小数はPPMよりもASEMにおいての方が小さい。
以下のパラグラフは、最適マーキング確率についてのさらなる説明を含む。上記の説明では、被害者vの観点からの経路再構築について検討した。次に、攻撃経路に沿った各ルータの観点から、問題を考慮する。次の2つの疑問が自然に生じる:(1)最適な
を得るための、各ルータにおけるマーキング確率
はどのようなものか;及び(2)導き出された最適マーキング確率は、各ルータにおいて実際に実装可能か。
PPMにおいては、各ルータにおけるマーキング確率
は同じである。
である。更に、各ルータが経路長(dj)を何らかの方法で事前に知ることができる場合、ルータはマーキング確率を最適値に設定可能である。この場合には、経路再構築に必要なパケットの数は、式(16)に示される値まで低減され得る。しかし、PPMはIPレベルで動作するので、各ルータに経路長を前もって提供するための実行可能な方法は、現在のインターネットにおいて存在しない。従って、導き出された最適マーキング確率は、現実的な観点からPPMでは実現不可能である。
ASEMの実施形態においては、各ルータにおけるマーキング確率
は同じではない。各ルータはそのマーキング確率を被害者までの距離に従って決定する。経路jについて、i番目のルータはそのマーキング確率を
に設定する。この式中、(dj−i+1)は、現在のルータとvとの間の距離(経路長)である。ASPATH属性が正確な長さ情報を提供するために、これが実現可能である。第1のルータについて、マーキング確率は1/djであり、第2のルータについて、マーキング確率は1/(dj−1)であって、以下同様である。
しかしながら、ASEMでは、「リマーキング」禁止というポリシーが課されるため、第1のルータがマーキングしたものには、後続のルータはリマーキングすることができない。従って、第2のルータがマーキングできるのは、(1−1/dj)Nj個のパケット(平均数)のみである。被害者に関して、
である。
同様に、
である。
即ち、ASEMにおける各ルータは、常に最適マーキング確率を使用してパケットにマーキングする。従って、計算負荷は最小化される。表1に、背景技術のPPM及びASEMでの各ルータにおけるマーキングされたパケット及び元のままの(マーキングされていない)パケットの平均数を示す。簡略化のため、Njを表すのにSを使用し、
を表すのにpを使用する。
要約すると、計算負荷に関して、ASEMは2つの態様によってPPMから区別される。第1に、導き出された最適マーキング確率はASEMにおいて実現可能であり、実際的に使用されるが、PPMにおいては、全経路長を認識していないため、最適マーキング確率の使用が実際的ではない。第2に、PPMにおける全てのルータが最適マーキング確率を常に使用すると仮定しても、不等式(18)により、経路再構築に必要なパケットの数はやはりASEMの方が少ないということが示される。
以下のパラグラフでは、経路長の短縮について更に述べる。式(17)を考慮すると、ASEMにおけるNjは、djの値を低減することによって、更に減らすこともできる。djのルータのうちd’j(d’j<dj)のみが、攻撃経路を復元するのに使用されると仮定する。d’jが小さくなるほど、Njも小さくなる。
である。
本発明では、ホップバイホップのIP経路の代わりに、はるかに短いAS経路を使用する。経路に沿ったマーキングルータのみがマーキングを行うため、これは、経路再構築に関して経路長がさらに短くなるということに等しい。IPトレースバックのために最も重要な情報は、経路に沿った第1のルータの情報であるということに留意されたい。ASEMはASレベルに基づいているが、経路に沿った第1のルータの情報も記録するため、ASEMは攻撃発信元を効率的にトレースできる。
以下のパラグラフでは、堅牢なマーキングについて述べる。優良なマーキング方式は、効率と堅牢さとのバランスをとるものである。更に、先のパラグラフでは、最適マーキングの問題を調べた。ここでは、アタッカー及び/又は乗っ取られたルータからの偽のマーキングの問題について取り組む。
アタッカーによって埋め込まれたスプーフィングされたマーキングについて以下で述べる。アタッカーは、偽造されたマーキングを書き込むことによって、トレースを効果的に阻止する場合がある。背景技術のPPM方式においては、vに関して、最も遠いルータによってパケットがマーキングされる可能性は、経路jに沿って
である。パケットが、経路jに沿ったどのルータにも全くマーキングされていない確率をqjとすると、
である。
明らかに、p<0.5ならば、
である。即ち、アタッカーは、各経路の最も遠いルータをvが突き止めることができないよう、マーキングされていないパケット上に偽の情報を埋め込むことでvを混乱させる場合がある。更に悪いことに、スプーフィングされたマーキングの悪影響は、最も遠いルータ、即ち、攻撃発信元に最も近いルータに限定されない。平均経路長が15の場合、最適マーキング確率はp=0.0667である。従って、qj=0.3553である。vに最も近いルータについてさえ、
であるので、その他任意の、より遠いルータについては尚更であることに留意されたい(PPMにおいて、
がiの単調増加関数であることを思い出されたい)。この例は、PPMにおいてアタッカーが偽のマーキング情報を埋め込んだ場合、被害者vを騙すことがいかに容易かを表している。しかしながら、本発明の「リマーキング」禁止戦略と、導き出された最適マーキング確率p=1/((dj−i)+1)とを使用すれば、qjは0になるため、ASEMにおいては、これはもはや問題ではなくなる。
乗っ取られたルータによってもたらされるスプーフィングされたマーキングについて以下で述べる。偽のマーキングの別の送信元として、乗っ取られたルータがある。これまでに、この問題を考察した、背景技術における研究はほとんどない。認証(authentication)は、信頼できるマーキングを保証する目的で背景技術において提案されている方法の1つである。対照的に、ASEMの実施形態では、より単純な方法でこの問題に取り組もう。
上述のように、BGPルーティングの使用によって、下流のマーキングルータである、ASbのRbは、その上流の隣接するマーキングルータである、ASaのRaにより埋め込まれたマーキングの正当性を検査することができる。これは、RaのASPATH属性が、RbのASNとRbのASPATH属性との連結となるはずだからである。不一致が見つかった場合、下流のマーキングルータは、スプーフィングされたマーキングを有するそれらのパケットをフィルタリングするか、又は破棄することができる。その後、各ASにおけるマーキング情報としてASPATH属性が使用される場合には、ASbにおけるマーキングルータは、その上流の隣接するASaのマーキングルータからのマーキング情報の正当性を検査することができる。
大規模DDoS攻撃に対する有効性について、以下で述べる。PPMについての背景技術の方式は、大規模DDoS攻撃に対して効果がない。これは、IPヘッダにおいて、マーキングのためのビット数が不十分であることに起因する。上述のように、PPMにおける経路再構築には2つのステップが必要とされる。1つは、各ルータの完全なIPアドレスの復元であり、もう1つは、各経路全体の復元である。多数のルータの被害者までの距離が同じである場合があり、また、完全なIPアドレスに統合する上で、同じルータからのパケットについてヒントが存在しないため、第1のステップの性能が著しく低下する場合がある。同様に、被害者が経路を効果的に再構築する上で、同じ送信元からのパケットについての手がかりは何も提示されない。
本発明の実施形態は、同じルータからのパケットを識別するために「リンケージ」情報を使用するという着想を実行する。ASEMにおいて経路再構築に必要なステップは1ステップのみであること、また、同じリンケージを有するパケットのみが、経路全体を成すものとして統合され得るということに留意されたい。
具体的には、ASEMの実施形態は、IPヘッダ内のIDフィールドの、次の16ビット(即ち、3ビット・フラグメント・フラグ・フィールド+13ビット・フラグメント・オフセット・フィールド)を、リンケージ情報を記憶するために使用する。これらの2つのフィールドは、今日のインターネットにおいては非常にまれな(全トラフィックの約0.25%)フラグメント化されたトラフィックを処理するために当初設計されたものである。
宛先における再組み立てを確実に成功させるために、全てのフラグメントは同じIDを有する。ASEMの実施形態において、IDフィールドがIPトレースバックにおけるマーキングのために使用されている場合、フラグメント・フラグ・フィールド及びフラグメント・オフセット・フィールドを無変更のままにしておくことは無意味である。上述のように、「リマーキング禁止」フラグは、フラグメント・フラグ・フィールドの第1のビットを占有し、このビットはデフォルト値0を有する予約ビットである。次の3ビットは、AS経路の長さを記録するために使用される。
ASEMの実施形態では、ハッシュ関数を使用して、第1のルータの32ビット・IPアドレスを、HASHIPと呼ばれる12ビットのハッシュ値にマッピングする。このフィールドをガイドとして使用するため、ASEMは同じ送信元からのパケットの判別において非常に効果的である。それにより、ASEMでは、今日主流となっている大規模DDoS攻撃に対応し得る。
以下は、HASHIPフィールドを使用する利点である。
(1)HASHIPをガイドとして使用することにより、経路を復元する上で、ノードのブラインドコンビネーション(blind combination)が効果的に回避されるため、経路再構築手順は大幅に簡略化される。
(2)HASHIPフィールドを、被害者が攻撃トラフィックをブロックするための識別子として単独で使用することもできるのだが、これは、PPM(及びその他ほとんどの方式)の場合には、PPMにおけるルータのマーキング情報がセグメント化され、いくつかのパケットとして伝送されるために、実現不可能である。
(3)HASHIP及びAS_PATHを活用して、ASEMにより大規模DDoS攻撃に対応することもできる。AS_PATHを使用して、各種ASを通過する攻撃フローを区別することもできる。HASHIPを使用して、同じASにおける異なる送信元から発信された攻撃フローを見分けることができるので、ASEMは大規模DDoS攻撃に対処し易くなる。
(4)攻撃パケットが通過したAS経路を特定した後、攻撃経路に沿った第1のASのシステム管理者は、ASの入口エッジルータの数が4096(212、ここでは理想的なハッシュ関数が使用されていると仮定する)未満でありさえすれば、攻撃パケットが放たれた入口エッジルータを識別できる。
PPMの場合、被害者が経路に沿った入口エッジルータのIPアドレスを再構成可能であっても、被害者にはそのルータを管理する権利がないため、やはり、対応するASのシステム管理者が行動をとる必要がある。故に、対応するシステム管理者に、入口エッジルータの完全なIPアドレスか、又はHASHIPを伝えるということは等価である。なぜなら、システム管理者は、ルックアップテーブルを保持して、HASHIP値からIPアドレスを決定できるからである。
以下のパラグラフでは、マーキングアルゴリズムについて述べる。マーキング及び経路再構築のアルゴリズムは、PPMのものに非常に類似している。1つの違いは、ASEMにおけるリンケージ情報によって各攻撃経路の復元におけるブラインドコンビネーションが回避されるため、経路再構築が高速且つ効率的になるということである。ここで、マーキングアルゴリズムを提示する唯一の理由は、本発明のマーキングアルゴリズムがマーキング検証という付加的なジョブを実行するからである。
マーキングアルゴリズムは、図3に示されるような、第1のマーキングルータのためのものと、その他のマーキングルータのためのもの(図4に示される)とに更に分けられる。従って、マーキングルータが同じASからパケットを受信する場合、それは第1のマーキングルータである。一方、マーキングルータが他のASからパケットを得る場合、それは第1のマーキングルータではない。第1のマーキングルータの場合には、FLAGフィールドの値を検査することが重要であるが、これは、巧妙なアタッカーがこのフィールドを1にあらかじめ設定して、さらなる任意のマーキングをブロックすることがあるためである。その他全てのマーキングルータの場合には、偽造されたマーキングに対応するために、AS_PATHフィールドを検査する必要がある。
ASEMの実施形態の性能解析の実験結果について、以下のパラグラフで述べる。以下では、計算負荷について述べよう。実際的な経路長分布を考慮した場合と考慮しない場合との2つの観点から、ASEMの計算負荷とPPMの計算負荷とが比較される。
このパラグラフでは、実際の経路長分布を考慮しない、各種異なる経路長の場合の性能比較について述べる。PPMでは、ルータは各経路長を事前に認識していない。解析を簡略化するために、PPMが、推奨されるマーキング確率、0.04を使用すると仮定する。実験結果として、最初に、実施形態によって提供される利点1つ1つの効果を示し、次に相乗効果を示す。図5〜図7に示されたNjと表2〜表3の結果とにおいて、端数が、最も近い大きい方の整数に切り上げられていること、即ち
であることに留意されたい。
このパラグラフでは、最適マーキング確率について述べる。ASEMが背景技術に優る第1の利点は、式(11)に示されるような最適マーキング確率を使用することにより実現される。
PPMでのNjの値は、(15)にp=0.04を代入することによって得られる。本発明のASEMの第1の利点として、Njの値は式(17)を使用して計算される。結果は図5に示されている。
より短い経路長について、以下で述べる。図6は、PPMに優る本発明のASEMの第2の利点の有利性を示す。ASEMとPPMとは、異なる粒度で動作することに留意されたい。ASEMはASレベルで動作し、且つ各経路に沿ったマーキングルータのみにマーキングの実行が許可されるため、同じ経路についてでさえ、経路長の値がPPMと本発明のアプローチとでは異なる。よって、ASEMは「より短い」経路長を有する。最近のインターネット計測によれば、IPレベルにおける経路長は、平均して、ASレベルにおける対応する経路長の約3倍である。故に、簡略化のため、ASレベルにおける経路長2、3、4、...、10に対応する経路長6、9、12、...、30を有するIP経路のみを考慮する。この簡略化は、比較において本発明の利点2が含まれる場合には必ず用いられよう。
両方の利点をASEMの実施形態として統合した最終結果が、図7に示されている。図から、ASEMの実施形態がPPMよりも大幅に性能が優れていることは明白である。
実際の経路長分布を考慮した性能比較について、以下で述べる。実際的な経路長分布を考慮に入れることにより、ASEMの性能がより正確に描写される。
本発明では2つのデータセットを使用する。1つは、CAIDAのSkitterプロジェクトからのものであり、もう1つは、LumetaからのInternet Mappingデータであって、それぞれ、http://research.lumeta.com/ches/map/から入手可能なInternet Mapping Project、及びhttp://www.caida.org/tools/measurement/skitter/から入手可能なCAIDA,Skitterを参照されたい。各経路長について、両方のデータセットからの経路数を単純に平均し、結果を本発明のデータセットとして使用することによって解析結果を得た。IP経路長の大部分は6以上30以下であるため、この範囲外の長さの経路は全て除外することが可能である。本発明のデータセットの残りの部分から、合計9804個の経路が選択された。9804個の経路のうち、IP経路長6、9、12、...、又は30を有する3448個の経路が、本発明の第2の改良点を含めた比較に使用されよう。
9804個の経路(セットS1として示される)を全て再構築するために、次の2つの関連するパラメータを考慮する:(1)全ての経路を再構築するために必要なパケットの総数N;及び(2)1個の経路を再構築するために必要なパケットの平均数n。同様に、選択された3448個の経路(セットS2として示される)について、N’及びn’を使用して、それぞれ、全ての経路を再構築するために必要なパケットの総数、及び1つの経路についての平均を表す。
N、N’、n、及びn’はそれぞれ、式(23)、(24)、(25)、及び(26)に従って計算される。結果は、以下の表2及び表3に示される。
n=N/9804 (25)
n’=N’/3448 (26)
n’=N’/3448 (26)
表2では、先に説明したように、長さが3の倍数であり、6以上30以下であるIP経路のみを使用する。この概算による、結果への影響は一見した限りではそれ程見受けられないことに留意されたい。PPMを考えると、9804個の経路及び3448個の経路からの、1個の経路を再構築するために必要なマーキングされたパケットの数は、平均して、それぞれ544及び520である。これらの2つの値は非常に近い(差はわずか4.41%である)。ASEMの場合には、1個の経路を再構築するために必要なパケットの総数について、平均して98.85%の節減を達成することもできる。
実施形態の堅牢さについて、以下で述べる。ASEMは、アタッカー及び乗っ取られたルータからのスプーフィングされたマーキングに対処できる。PPMの場合、パケットが触れられずに(即ち、マーキングされずに)被害者に到達する確率は、経路jに沿って
である。被害者を完全に混乱させるためには、次の不等式が満たされるはずである。
この場合、
である。
平均経路長15の場合、式(28)は、p≦0.04516ならば成り立つ。従って、推奨される値p=0.04を使用すれば、再構築が著しく妨害され、誤検出が増加してしまう。一方、ASEMでは、qj=0である。言い換えると、アタッカーによって組み込まれる全てのパケットに偽のマーキングが書き込まれていても、そのような偽のマーキング情報は、パケットが攻撃経路に沿って通過する際に、ルータからの正確なマーキング情報によって完全に置き換えられてしまうだろう。従って、ASEMのこの利点によって、本発明はアタッカーからのスプーフィングされたマーキングを皆無にし、一方でNjを最適化する。
乗っ取られたルータについて、ASEMはマーキング情報の正当性を検査することによって、上記ルータの悪影響を阻止する。認証を使用する背景技術の方式と比較して、ASEMでは、導入されるオーバヘッドがはるかに少ない。
誤検出に対する、ASEMの実施形態の性能について以下で述べる。背景技術と比較して、ASEMの実施形態では、特に、マーキングビットを少なくすることが可能である。
誤検出率が高い理由の1つとして、マーキングビットの不足がある。PPMでは、被害者は32ビット・IPアドレスを特定するために8つのフラグメントを使用してパケットを統合しなければならないのだが、一方ASEMではこのステップは不要である。更に、1つのルータについてのマーキング情報は、ASEMでは16ビットであり、PPMにおいて必要なビットのわずか半分である。従って、組み合わせ爆発によってもたらされる誤検出が、両方の要因によって著しく軽減される。
リンケージ情報について、以下で述べる。ASEMにおけるリンケージ情報によって、経路再構築におけるブラインドコンビネーションを効果的に回避することができる。これは、今日主流の攻撃パターンである大規模DDoS攻撃においては特に、非常に重要である。12ビット・リンケージ情報は、経路再構築におけるガイドとして使用可能である。
短縮された経路長について、以下で述べる。被害者により近いルータによって引き起こされる誤検出の「なだれ」効果にも留意されたい。経路再構築中に、被害者からhホップ離れたルータRが誤って攻撃経路に追加された場合、これにより、h+1ホップ離れたルータを突き止めるのに影響が出てしまうだろう。hが小さくなるほど、それだけ誤検出は増加する。一般的に、経路長のデクリメントにより誤検出を指数関数的に低減できるので、ASEM方法には好都合である。
実施形態は、IPトレースバックのための、堅牢且つ最適なマーキング方式を提供する。第1に、実施形態は経路再構築の最適化のための測定基準を提供する。経路再構築はパケットマーキングの基本目標であることに留意されたい。この測定基準をガイドラインとして使用して、ASEMが背景技術に優る2つの利点を上述した。両方の利点を統合することで、ASEMは背景技術に優る付加的利点をいくつも有することが分かる。第1には、最適マーキング確率である:先のパラグラフで、最適マーキング確率を導き出して、実際の実装を提示した。従来のPPMと比較して、平均で98.85%ものマーキングされたパケットを低減することができる。第2には、堅牢なマーキングである:ASEMは、アタッカーによるスプーフィングされたマーキングだけでなく、乗っ取られたルータによりもたらされた偽のマーキングにも対処することができる。第3には、今日のインターネット環境において主流である大規模DDoS攻撃への対処の有効性である。第4には、誤検出の減少である:高い誤検出率は、上記利点により効果的に抑制される。第5には、部分的な導入である。第6に、べき乗則インターネットによって、ASEMの部分的な導入は効果的なものとなり易い。
特定の実施形態について説明したが、特許請求の範囲に記載の主題の範囲は、特定の実施形態又は実装には限定されないということが、当然、理解されよう。例えば、一実施形態は、例えばデバイス又はデバイスを組み合わせたものにおいて動作するよう実装されるような、ハードウェアにおけるものであってもよく、別の実施形態に関しては、ソフトウェアにおけるものであってもよい。同様に、実施形態はファームウェアにおいて、或いは例えばハードウェア、ソフトウェア及び/又はファームウェアを任意に組み合わせたものとして実装されてもよい。同様に、一実施形態は1つ又は複数の記憶媒体等の1つ以上の物品から成っていてもよいが、特許請求の範囲に記載の主題の範囲はこの点において限定されない。例えば1つ以上のCD−ROM及び/又はディスクといった上記記憶媒体はそこに命令を記憶していてもよく、この命令が、例えばコンピュータシステム、コンピューティングプラットフォーム、又はその他のシステムといったシステムで実行された場合、特許請求の範囲に記載の主題に係る方法の一実施形態、例えば上述の実施形態の1つが実施されてもよい。考えられる一例として、コンピューティングプラットフォームは、1つ以上の処理装置若しくはプロセッサ、1つ以上の入/出力デバイス(ディスプレイ、キーボード、及び/又はマウス等)、及び/又は1つ以上のメモリ(スタティックランダムアクセスメモリ、ダイナミックランダムアクセスメモリ、フラッシュメモリ、及び/又はハードドライブ等)を含んでもよい。例えば、ディスプレイを用いて、1つ以上のクエリ(相関を持ったもの等)及び/又は1つ以上の木表現を表示してもよいが、やはり特許請求の範囲に記載の主題の範囲はこの例に限定されない。同様に、実施形態はシステムとして実装されてもよいし、或いはコンピュータシステム、移動通信システム及び/又はその他の種類の通信システム、及びその他周知の電子システム等の構成要素を任意に組み合わせたものとして実装されてもよい。
先の記載には、特許請求の範囲に記載の主題の様々な態様が記載されている。特許請求の範囲に記載の主題が十分に理解されるように、説明上、特定の数、システム及び/又は構成を示した。しかしながら、上記の具体的な詳細通りでなくとも特許請求の範囲に記載の主題が実施されることは、本開示の恩恵を受ける当業者にとって明白であろう。その他、特許請求の範囲に記載の主題が不明確にならないように、周知の特徴を省略及び/又は簡略化した場合もある。特定の特徴が本明細書において図示及び/又は説明されているが、多くの変形例、置換例、変更例、及び/又は均等物が当業者には想到されよう。従って、添付の特許請求の範囲は、そのような変形及び/又は変更の全てを、特許請求の範囲に記載の主題の趣旨に入るものとして包含するものであると理解されたい。
Claims (20)
- インターネットプロトコル(IP)トレースバックのための方法であって、
前記方法は、
ルータにおいて1つ以上のパケットを受信するステップと;
自律システム(AS)レベルのマーキングルータにおけるパケットにのみマーキング情報を書き込むステップと;
マーキングされたパケットをエッジルータ及びその他のルータに検証のために転送するステップとを含み、
前記パケットは、確率測度に基づいてマーキングされ、且つ
ボーダ・ゲートウェイ・プロトコル(BGP)ルーティングテーブル情報は、マーキング及び検証のために使用される前記ASレベル情報である
方法。 - 前記確率測度は、乱数が最適マーキング確率より小さいか否かによって決定される、
請求項1に記載のIPトレースバックのための方法。 - BGPルーティングテーブル情報は、マーキング及び検証のために使用され、自律システム番号(ASN)及びASPATH属性である、
請求項2に記載のIPトレースバックのための方法。 - マーキング及び検証のために使用される前記BGPルーティングテーブル情報は、自律システム番号(ASN)及びASPATH属性のうちの少なくとも1つを更に含む、
請求項3に記載のIPトレースバックのための方法。 - マーキング情報は、マーキングされたパケットを識別するフラグと;経路長属性と;前記マーキングルータのIPアドレスのハッシュ関数とを更に含む、
請求項4に記載のIPトレースバックのための方法。 - 検証において、上流及び下流のマーキング情報を比較して、上流のマーキング情報と下流のマーキング情報との差が、前記上流のルータのASNのみであると確認するステップが更に含まれる、
請求項5に記載のIPトレースバックのための方法。 - プロセッサによって実行された場合、IPトレースバックのための方法を前記プロセッサに実施させるソフトウェアコードを含むプロセッサ可読媒体であって、
前記IPトレースバックのための方法は、
ルータにおいて1つ以上のパケットを受信するステップと;
自律システム(AS)レベルのマーキングルータにおけるパケットにのみマーキング情報を書き込むステップと;
マーキングされたパケットをエッジルータ及びその他のルータに検証のために転送するステップとを含み、
前記パケットは、確率測度に基づいてマーキングされ、且つ
ボーダ・ゲートウェイ・プロトコル(BGP)ルーティングテーブル情報は、マーキング及び検証のために使用される前記ASレベル情報である、
プロセッサ可読媒体。 - 前記確率測度は、乱数が最適マーキング確率より小さいか否かによって決定される、
請求項7に記載のプロセッサ可読媒体。 - BGPルーティングテーブル情報は、マーキング及び検証のために使用され、自律システム番号(ASN)及びASPATH属性である、
請求項8に記載のプロセッサ可読媒体。 - マーキング及び検証のために使用される前記BGPルーティングテーブル情報は、自律システム番号(ASN)及びASPATH属性のうちの少なくとも1つを更に含む、
請求項9に記載のプロセッサ可読媒体。 - マーキング情報は、マーキングされたパケットを識別するフラグと;経路長属性と;前記マーキングルータのIPアドレスのハッシュ関数とを更に含む、
請求項10に記載のプロセッサ可読媒体。 - 検証において、上流及び下流のマーキング情報を比較して、上流のマーキング情報と下流のマーキング情報との差が、前記上流のルータのASNのみであると確認するステップが更に含まれる、
請求項11に記載のプロセッサ可読媒体。 - 乗っ取られたルータ、及び危殆化したルータは隣接していない、
請求項12に記載のプロセッサ可読媒体。 - 攻撃は、少なくとも数十のパケットで構成される、
請求項13に記載のプロセッサ可読媒体。 - IPトレースバックのためのシステムであって、
前記システムは、
複数の自律システムと、
前記複数の自律システムを相互接続するように構成されたルータとを備え、
前記ルータは、
前記複数の自律システムによって受信されたパケットにマーキングするように構成されたマーキングルータと、
前記マーキングルータに相互接続され、且つ前記マーキングルータによりマーキングされたパケットを検証するように構成されたエッジルータ及びその他のルータとを更に含み、
前記マーキングルータ、エッジルータ及びその他のルータは、請求項7に記載のソフトウェア可読媒体を実行するように構成されたプロセッサを更に含む
システム。 - BGPルーティングテーブル情報は、マーキング及び検証のために使用され、自律システム番号(ASN)及びASPATH属性である、
請求項15に記載のシステム。 - マーキング及び検証のために使用される前記BGPルーティングテーブル情報は、自律システム番号(ASN)及びASPATH属性のうちの少なくとも1つを更に含む、
請求項16に記載のシステム。 - マーキング情報は、マーキングされたパケットを識別するフラグと;経路長属性と;前記マーキングルータのIPアドレスのハッシュ関数とを更に含む、
請求項17に記載のシステム。 - 検証において、上流及び下流のマーキング情報を比較して、上流のマーキング情報と下流のマーキング情報との差が、前記上流のルータのASNのみであると確認するステップが更に含まれる、
請求項18に記載のシステム。 - 乗っ取られたルータ、及び危殆化したルータは隣接しておらず、且つ、攻撃は少なくとも数十のパケットで構成される、
請求項19に記載のシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US77814106P | 2006-03-01 | 2006-03-01 | |
| PCT/US2007/063073 WO2008042453A2 (en) | 2006-03-01 | 2007-03-01 | Autonomous system-based edge marking (asem) for internet protocol (ip) traceback |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009528797A true JP2009528797A (ja) | 2009-08-06 |
Family
ID=39269053
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008557497A Pending JP2009528797A (ja) | 2006-03-01 | 2007-03-01 | インターネットプロトコル(ip)トレースバックのための、自律システムベースのエッジマーキング(asem) |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20070206605A1 (ja) |
| EP (1) | EP1989839A4 (ja) |
| JP (1) | JP2009528797A (ja) |
| CN (1) | CN101518017A (ja) |
| WO (1) | WO2008042453A2 (ja) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003261154A1 (en) * | 2002-07-12 | 2004-02-02 | The Penn State Research Foundation | Real-time packet traceback and associated packet marking strategies |
| US8245304B1 (en) * | 2006-06-26 | 2012-08-14 | Trend Micro Incorporated | Autonomous system-based phishing and pharming detection |
| US7619990B2 (en) * | 2006-06-30 | 2009-11-17 | Alcatel-Lucent Usa Inc. | Two tiered packet labeling for data network traceback |
| KR100950769B1 (ko) * | 2007-12-17 | 2010-04-05 | 한국전자통신연구원 | 역추적 방법 및 신호 수신 장치 |
| US8296303B2 (en) * | 2008-11-20 | 2012-10-23 | Sap Ag | Intelligent event query publish and subscribe system |
| CN101873258A (zh) * | 2010-06-07 | 2010-10-27 | 清华大学 | 一种概率包标记及攻击源追溯方法、系统及装置 |
| CN102006290B (zh) * | 2010-08-12 | 2013-08-07 | 清华大学 | Ip源地址追溯的方法 |
| CN101917341A (zh) * | 2010-08-24 | 2010-12-15 | 清华大学 | 用于域间追溯的包标记概率选取方法及装置 |
| TWI489820B (zh) * | 2011-01-03 | 2015-06-21 | Univ Nat Taiwan Science Tech | 一種追蹤攻擊來源之方法 |
| CN102957610B (zh) * | 2012-12-03 | 2016-03-02 | 杭州华三通信技术有限公司 | 路由处理方法及路由转发设备 |
| CN104202314B (zh) * | 2014-08-22 | 2018-04-20 | 中国联合网络通信集团有限公司 | 一种阻止ddos攻击的方法及装置 |
| US9819573B2 (en) * | 2014-09-11 | 2017-11-14 | Microsoft Technology Licensing, Llc | Method for scalable computer network partitioning |
| US9716647B2 (en) | 2015-06-22 | 2017-07-25 | Futurewei Technologies, Inc. | Multiple topology-transparent zones having a common edge node |
| SG10201912933VA (en) * | 2016-03-23 | 2020-02-27 | Agency Science Tech & Res | Cloud-based forensic ip traceback |
| SG11202005806PA (en) * | 2017-12-26 | 2020-07-29 | Agency Science Tech & Res | Tracing traffic in the internet |
| US10893022B1 (en) * | 2018-12-20 | 2021-01-12 | Equinix, Inc. | Routing protocol security using a distributed ledger |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040093521A1 (en) * | 2002-07-12 | 2004-05-13 | Ihab Hamadeh | Real-time packet traceback and associated packet marking strategies |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7035934B1 (en) * | 2000-03-23 | 2006-04-25 | Verizon Corporate Services Group Inc. | System and method for improving traffic analysis and network modeling |
| US7286479B2 (en) * | 2001-07-13 | 2007-10-23 | Nortel Networks Limited | Routing for a communications network |
| US7254633B2 (en) * | 2002-02-07 | 2007-08-07 | University Of Massachusetts Amherst | Probabilistic packet marking |
| US7565426B2 (en) * | 2003-08-07 | 2009-07-21 | Alcatel Lucent | Mechanism for tracing back anonymous network flows in autonomous systems |
| US7656819B2 (en) * | 2005-11-04 | 2010-02-02 | Cisco Technology, Inc. | Method and apparatus for improving convergence in networks |
-
2007
- 2007-03-01 CN CNA2007800070500A patent/CN101518017A/zh active Pending
- 2007-03-01 US US11/680,837 patent/US20070206605A1/en not_active Abandoned
- 2007-03-01 JP JP2008557497A patent/JP2009528797A/ja active Pending
- 2007-03-01 EP EP07863323A patent/EP1989839A4/en not_active Withdrawn
- 2007-03-01 WO PCT/US2007/063073 patent/WO2008042453A2/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040093521A1 (en) * | 2002-07-12 | 2004-05-13 | Ihab Hamadeh | Real-time packet traceback and associated packet marking strategies |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008042453A9 (en) | 2008-06-05 |
| CN101518017A (zh) | 2009-08-26 |
| WO2008042453A2 (en) | 2008-04-10 |
| WO2008042453A3 (en) | 2009-05-07 |
| EP1989839A2 (en) | 2008-11-12 |
| EP1989839A4 (en) | 2012-06-20 |
| US20070206605A1 (en) | 2007-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2009528797A (ja) | インターネットプロトコル(ip)トレースバックのための、自律システムベースのエッジマーキング(asem) | |
| US11470105B2 (en) | Attestation service gateway | |
| US11863434B2 (en) | System and method of providing policy selection in a network | |
| Legner et al. | {EPIC}: every packet is checked in the data plane of a {Path-Aware} Internet | |
| Chatterjee et al. | Security issues in named data networks | |
| US8824474B2 (en) | Packet routing in a network | |
| Wu et al. | What if routers are malicious? mitigating content poisoning attack in ndn | |
| US11277442B2 (en) | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods | |
| Compagno et al. | Violating consumer anonymity: Geo-locating nodes in named data networking | |
| US11924043B2 (en) | Establishing trust relationships of IPv6 neighbors using attestation-based methods in IPv6 neighbor discovery | |
| Gao et al. | A practical and robust inter-domain marking scheme for IP traceback | |
| Mohammadi et al. | SYN‐Guard: An effective counter for SYN flooding attack in software‐defined networking | |
| US20200322334A1 (en) | Authentication of network devices based on extensible access control protocols | |
| CN113395247A (zh) | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 | |
| US11509684B2 (en) | Method and apparatus for out of path border gateway protocol validation | |
| Alston et al. | Neutralizing interest flooding attacks in named data networks using cryptographic route tokens | |
| Malliga et al. | A hybrid scheme using packet marking and logging for IP traceback | |
| Testart | Reviewing a Historical Internet Vulnerability: Why Isn't BGP More Secure and What Can We Do About it? | |
| Alenezi et al. | Uniform dos traceback | |
| US11558198B2 (en) | Real-time attestation of cryptoprocessors lacking timers and counters | |
| Al-Duwairi et al. | Preventing DDoS attacks in path identifiers-based information centric networks | |
| Parashar et al. | Improved deterministic packet marking algorithm for IPv6 traceback | |
| Singh et al. | Threat identification and risk assessments for named data networking architecture using SecRam | |
| Tripathy et al. | A secure packet marking scheme for ip traceback in ipv6 | |
| Alenezi et al. | Selective record route DoS traceback |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20100520 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100528 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100528 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101112 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101119 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110418 |