-
Die
vorliegende Erfindung bezieht sich auf Paketdatenkommunikation,
insbesondere, aber nicht ausschließlich, auf Prozeduren, Mechanismen
und eine Vorrichtung für
die Erfassung und Abmilderung von Dienstverweigerungsangriffen in
einem öffentlichen
Datenkommunikationsnetzwerk, wie etwa dem Internet.
-
Dienstverweigerungsangriffe
werden dafür
entworfen, die Ressourcen eines Netzwerkhosts oder des Netzwerks
selbst zu verbrauchen, wodurch der Dienst für legitimierte Benutzer verweigert
oder wenigstens verschlechtert wird. Dienstverweigerungsangriffe
sind aktuell ein schwierig zu lösendes
Sicherheitsproblem, weil sie einfach zu implementieren, schwierig
zu erfassen und sehr schwierig nachzuverfolgen sind. Die meiste Arbeit
in diesem Bereich hat sich auf das Tolerieren von Angriffen konzentriert,
indem die Effekte auf das Opfer abgemildert wurden. Eine andere
Möglichkeit
ist, Angriffe zu ihrem Ursprung zurückzuverfolgen, sodass sie in der
Nähe der
Quelle eliminiert werden können.
-
Das
Feststellen der Quelle eines Angriffs, was als Rückverfolgungsproblem bekannt
ist, ist wegen des staatenlosen Wesens der Leitweglenkung im Internet
extrem schwierig. Angreifer verstecken ihren Standort mit falschen
oder „verulkten" IP-Quelladressen.
Da diese Pakete über
das Internet laufen, geht der wahre Ursprung verloren und das Opfer
verbleibt ohne nützliche
Informationen bezüglich
des Standorts des Angreifers. Eine Lösung ist, probabilistisch ein
Verfolgungspaket, das ein „itrace"-Paket genannt wird,
mit dem verfolgten Paket zu einem Weiterleitungsrouter zu senden,
wie in Bellovin: ICMP Traceback messages („draft-bellovin-itrace-00.txt") AT&T Labs, März 2000
beschrieben ist.
-
Wenn
sie Pakete weiterleiten, erzeugen Router, die itrace-aktiviert sind,
mit extrem geringer Wahrscheinlichkeit eine Rückverfolgungsnachricht, die
parallel den gleichen Weg mit den Daten zu dem Ziel gesendet wird.
Mit genug Rückverfolgungsnachrichten
von genug Routern entlang des Pfades können die Quelle des Verkehrs
und der Pfad von dem angegriffenen Host festgestellt werden.
-
US-A-5371731
veröffentlicht
ein Verwaltungssystem für
Netzwerkverkehr und ein Verfahren, bei dem ein Weiterleitungsknoten
N eine falsche Übertragung
eines Frames detektieren und den Frame verwerfen kann.
-
Bellovin „ICMP Traceback
Messages", XP002158911,
unter http://community.roxen.com/developers/idocs/drafts/draft-bellovin-itrace-00.txt
veröffentlicht
das Konzept der Verwendung von ICMP-Rückverfolgungsnachrichten, um
den Pfad zu erfahren, den die Pakete durch das Internet nehmen.
-
US-A-6005851
und US-A-5649110 veröffentlichen
Systeme, durch die Elemente an dem Endgerät an der Quelle die Einstellungen
der Dienstqualität
für Pakete
verändern.
-
Entsprechend
einem Aspekt der Erfindung wird ein Verfahren mit den Merkmalen
von Anspruch 1 geschaffen.
-
Folglich
kann der Netzwerkknoten Probleme mit Verkehrsdaten lösen, indem
er die Daten über
die Zusammenarbeit mit einem entfernten Paketweiterleitungsknoten
auflistet, als ob er in einem Weiterleitungspfad für Daten
wäre, die
an dem Netzwerkknoten empfangen werden.
-
Der
entfernte Paketweiterleitungsknoten kann die Bearbeitung von Datenverkehr,
der an den Netzwerkknoten gerichtet ist, selektiv verändern, wodurch
ermöglicht
wird, die Probleme des Netzwerkknotens mit Datenverkehr zu lösen, ohne
die Lieferung von Verkehr an andere Netzwerkknoten zu beeinflussen.
-
Die
Anfrage kann zum Beispiel sein, weitergeleiteten Datenverkehr mit
einem Merkmal zu markieren, das ermöglicht, den weitergeleiteten
Datenverkehr von Datenverkehr von Datenverkehr zu unterscheiden,
der über
einen anderen Pfad weitergeleitet wird, um dem Netzwerkknoten zu
ermöglichen,
Daten zu klassifizieren, die über
den ausgewählten
Datenweiterleitungsknoten empfangen werden.
-
Die
Anfrage kann alternativ den entfernten Paketweiterleitungsknoten
veranlassen, den Umfang des Datenverkehrs zu verringern, der an
dem Netzwerkknoten empfangen wird, um dadurch Probleme mit Daten des
Verkehrs zu lösen,
die an dem Netzwerkknoten auftreten.
-
Nach
einem weiteren Aspekt der Erfindung wird ein Verfahren zur Verwaltung
von Datenverkehr geschaffen, der an einem Paketweiterleitungsknoten
in einem Paketdatenkommunikationsnetzwerk empfangen wird, wobei
das Verfahren die Schritte von Anspruch 10 umfasst.
-
Nach
noch einem weiteren Anspruch der Erfindung wird ein Verfahren zur
Verringerung von Stauproblemen geschaffen, die ein Netzwerkknoten
erfährt,
indem die Bearbeitung von Datenverkehr an einem Paketweiterleitungsknoten
in einem Paketdatenkommunikationsnetzwerk verändert wird, wobei das Verfahren
die Schritte von Anspruch 11 umfasst.
-
Merkmale
und Vorteile der verschiedenen Aspekte der Erfindung werden aus
der Betrachtung der folgenden Beschreibung von bevorzugten Ausführungen
der Erfindung klar, die nur als Beispiel angegeben werden, und die
sich auf die Zeichnungen im Anhang beziehen, in denen:
-
1 eine
schematische Darstellung eines Paketdatenkommunikationsnetzwerks
zeigt;
-
2 eine
schematische Darstellung eines Rückverfolgungspakets
zeigt;
-
3 eine
schematische Darstellung eines Protokollstapels zeigt, den verschiedene
Einheiten des Netzwerks gemeinsam nutzen,
-
4 eine
schematische Darstellung eines Überwachungsagenten
zeigt;
-
5 eine schematische Darstellung von Daten
zeigt, die in dem Überwachungsagenten
gespeichert sind;
-
6 eine
schematische Darstellung einer Markierungsprozedur für Datenverkehr
zeigt;
-
7 eine
schematische Darstellung eines Kommunikationsmechanismus zwischen
einem Opfer und einem entfernten Router zeigt;
-
8 eine
schematische Darstellung einer Filterprozedur für Datenverkehr zeigt; und
-
9 eine
schematische Darstellung einer Prozedur zur Verringerung der Dienstqualität von Datenverkehr
zeigt.
-
1 stellt
eine beispielhafte Ausführung
eines paketvermittelten öffentlichen
Datenkommunikationsnetzwerks dar, wie das Internet, in dem die vorliegende
Erfindung implementiert werden kann. Das gesamte Netzwerk besteht
aus einer Anzahl von verschiedenen Subnetzwerken, oder Domains,
die jede von einer anderen Einheit verwaltet werden, auf die sich
als ein Internetdienstanbieter (ISP, Internet Service Provider)
bezogen wird. Diese verschiedenen Domains enthalten eine Kernrouterdomain 100,
die ein Backbone-Netzwerk bildet, durch das große Mengen von Daten des Verkehrs
geleitet werden, und eine Anzahl von Zugangsdomains 108, 114, 208 und 210,
die jede von einem anderen ISP verwaltet werden, und die eine variable
Anzahl von Paketvermittlungsroutern enthalten.
-
1 stellt
einen Dienstverweigerungsangriff dar, der auf einen Benutzer 102 verübt wird,
auf den sich als das Opfer bezogen wird, das mit dem Netzwerk über den
lokalen ISP 208 verbunden ist. Das Opfer 102 kann
z. B. ein lokales Intranet sein, das mit dem ISP 208 über eine
Firewall verbunden ist. Die Ressourcen auf der Seite des Opfers
können
zum Beispiel einen Webserver enthalten, der Kunden Daten über das öffentliche Datenkommunikationsnetzwerk
zur Verfügung
stellt. Die Kunden in dem öffentlichen
Datenkommunikationsnetzwerk schließen legitimierte Benutzer 106 und 112 ein,
die mit dem Netzwerk über
ihren eigenen lokalen ISP 108 und 114 verbunden
sind. Während
eines Dienstverweigerungsangriffs richtet der Angreifer 104 eine große Menge
böswilligen
Verkehrs an das Opfer 102. Der Angreifer 104 kann
an irgend einem Router an das öffentlichen
Datenkommunikationsnetzwerk angeschlossen sein. In dem in 1 gezeigten
Beispiel ist der Angreifer 104 über einen ISP 210 angeschlossen,
der von dem ISP 218 des Opfers entfernt liegt.
-
Die
itrace-Nachricht ist ein Paket nach dem Nachrichtenprotokoll für die Internetsteuerung
(ICMP, Internet Control Message Protocol) mit verschiedenen definierten
Eigenschaften. Sein Format ist in 2 dargestellt.
Der IP-Kopf enthält
als die Quelladresse 102 die Adresse des Routers, der das
Paket erzeugt und sendet. Das Lebenszeitfeld (TTL, Time to Live) 104 am
Anfang muss auf 255 gesetzt werden. Wenn das Rückverfolgungspaket dem gleichen
Pfad wie die Datenpakete folgt, liefert dies eine Anzeige des Abstands
von diesem Router zum Ziel, das von jedem Router dekrementiert wird,
den es durchläuft.
-
Die
ICMP-Nutzlast 106 enthält
ein Feld 108, das den Schnittstellennamen des Erzeugers
enthält.
Das Rückverbindungsfeld 110 enthält Informationen
des letzten Sprungs. Das Weiterverbindungsfeld 112 enthält die Informationen
des nächsten
Sprungs. Diese zwei Verbindungen können verwendet werden, um eine
Kette von Rückverfolgungsnachrichten
leicht zu rekonstruieren.
-
Das
Feld 114 mit dem Zuordnungsstring der Verbindungsebene
enthält
Informationen, die Routern bekannt sind und von ihnen genutzt werden,
um Nachrichten zusammenzubündeln,
die von benachbarten Routern gesendet werden.
-
Das
Zeitstempelfeld 116, das Informationen im NTP-Format enthält, ist
sehr nützlich
für die
Authentifizierung der Nachricht. Es kann wie ein Ad-Hoc-Wert verwendet
werden, um jedes Paket zu charakterisieren und verschieden zu machen.
Wenn der Router den Verlauf der gesendeten ICMP-Nachrichten hat,
können
diese Information in irgendeinem Prozess verwendet werden, um die
ICMP-Rückverfolgungsnachrichten
zu authentifizieren. Das Opfer verwendet dieses Feld während des Überwachungsprozesses.
-
In
dieser Ausführung
der Erfindung werden zwei neue Subfelder vorgesehen, nämlich ein
Feld 118 mit der Wahrscheinlichkeitsrate und ein Feld mit
dem ISP-Identifikator 120. Das Feld 118 mit der
Wahrscheinlichkeitsrate enthält
konfigurierbare Informationen. Im Protokoll nach dieser Ausführung kann
eine Steuernachricht die Rate der Rückverfolgungspakete an einem
Router einstellen. Wenn verschiedene Router auf verschiedene Wahrscheinlichkeitsraten
eingestellt sind, wird dieses Feld verwendet, um einem Rückverfolgungspaket
während
der Auswahl des Pfades des Angreifers oder während eines Überwachungsprozesses
die richtige Gewichtung zu geben, was unten in weiteren Details
beschrieben wird.
-
Das
Feld mit dem ISP-Identifikator 120 gibt an, welche Einheit
den Router verwaltet, der das Rückverfolgungspaket
gesendet hat. Dieses Feld wird während
der Authentifizierung der Rückverfolgungsnachricht verwendet.
-
Das
Feld 122 des nachverfolgten Pakets enthält Kopien von Informationen
aus dem nachverfolgten Paket, das die Erzeugung des Rückverfolgungspakets
ausgelöst
hat. Die Informationen im Kopf dieses nachverfolgten Pakets oder
das gesamte Paket können
kopiert werden.
-
Das
Authentifizierungsdatenfeld 124 enthält Authentifizierungsdaten
für das
Rückverfolgungspaket. Sie
können
die Form eines Zertifikates für
eine Infrastruktur mit öffentlichem
Schlüssel
(PKI, public key infrastructure) oder einen Authentifizierungskode
einer Nachricht mit geheimem Schlüssel sein, vorzugsweise ein HMAC,
wie in RFC-2104: HMAC: Keyed-Hashing for Message Authentification,
IETF beschrieben ist. HMAC erfordert eine kryptographische Hash-Funktion
(H) und einen geheimen Schlüssel
(K). Der Schlüssel
K wird in XOR mit dem Nachrichtenfeld verwendet.
-
Jeder
ISP hat geheime Informationen (K) für die Router, die er verwaltet.
Das Geheimnis kann für
jeden Router ähnlich
sein, der bei dem selben ISP registriert ist. Mit dem ISP-Identifikator
kann der ISP kontaktiert werden, um die Rückverfolgungsnachricht zu authentifizieren.
Der Kontakt wird vorzugsweise von einem ISP zu einem anderen hergestellt.
Die ISPs, die Protokolle nach dieser Erfindung implementieren, können mit asymmetrischer
Kryptographie kommunizieren, um Nachrichten auszutauschen, einschließlich der
geheimen Information (K), die verwendet wird, um die Rückverfolgungsnachrichten
zu unterzeichnen. Ein Server, der die Verschlüsselungsinformationen und die
Schlüssel
hat, ist in jedem ISP installiert.
-
3 stellt
ein neues Protokoll dar, das nach dieser Ausführung der Erfindung implementiert
ist, und das von einem Protokollstapel 200 dargestellt
wird, der in verschiedenen Einheiten sowohl auf der Netzwerkseite
als auch auf der Seite des Benutzers (potenzielles Opfer) implementiert
ist. Auf der Benutzerseite wird legitimierter Verkehr, böswilliger
Verkehr und Rückverfolgungsnachrichten
an einer Firewall 202 empfangen, die zwischen dem lokalen
ISP-Netzwerk und dem Intranet des Opfers angeordnet ist. Ein Überwachungsagent 204 sortiert
Informationen, die in Rückverfolgungsnachrichten
empfangen wurden, die ihm von der Firewall 202 weitergeleitet
werden, und erfasst eine Dienstverweigerungssituation, wenn sie
entsteht. Über
das Protokoll 200 kann der Überwachungsagent 204 mit
verschiedenen Einheiten auf der Netzwerkseite kommunizieren, einschließlich ent weder
direkt oder indirekt mit einem ausgewählten entfernten Router 206,
von dem ermittelt wurde, dass er entlang eines wahrscheinlichen
Pfades von böswilligem
Verkehr liegt, der auf der Seite des Benutzers empfangen wurde.
Sowohl der lokale ISP 208 als auch der entfernte ISP 210,
der den entfernten Router 206 verwaltet, kann an dem Prozess über das
Protokoll 200 beteiligt sein. Nachdem eine Dienstverweigerungssituation
erfasst worden ist, wird ein Angriffabmilderungsagent 212 auf
der Seite des Benutzers verwendet, um eine oder mehrere Angriffabmilderungsprozeduren
einzuleiten. Der Angriffabmilderungsagent 212 kommuniziert
entweder direkt oder indirekt mit einem ausgewählten entfernten Router 206,
um Filtern oder andere Prozeduren an dem entfernten Router 206 zu
implementieren. Sowohl der lokale ISP 208 als auch der entfernte
ISP 210 können
an dieser Prozedur beteiligt sein.
-
4 stellt
Elemente des Überwachungsagenten 204 detaillierter
dar. Daten von Rückverfolgungsnachrichten,
die von der Firewall 202 empfangen werden, werden in dem
Zugangsfeld 224 abgelegt, das entsprechend der TTL-Informationen
indiziert ist, die in dem Rückverfolgungspaket
empfangen wurden. Eine Vorgehensweise bezüglich der Zeit 228 wird
verwendet, um die Zeitspanne festzustellen, in der Daten, die sich auf
ein Paket beziehen, in dem Zugangsfeld bleiben. Vorzugsweise werden
Informationen, die sich auf ein Rückverfolgungspaket beziehen,
in dem Zugangsfeld 224 für einen vorher festgelegten
Zeitraum gespeichert, nach dem sie verworfen werden. Dieses Zugangsfeld 224 wird
kontinuierlich bzgl. einem verbundenen Satz von Kombinationen von
Rückverbindung/Quelladresse/Weiterleitungsverbindung
analysiert, die einen Satz von Rückverfolgungspaketen
anzeigen, die entlang eines Pfades empfangen wurden, über den
ein signifikanter Umfang des Verkehrs auf der Benutzerseite empfangen
wird. Wenn ein solcher Verkehrspfad erfasst wird, werden die Daten
in einer Pfadmatrix 226 gespeichert. Die Pfadmatrix 226 ist
derart angeordnet, dass im Falle einer Dienstverweigerungssituation
der Pfad, entlang dem der meiste böswillige Verkehr empfangen
wird, im Allgmeinen von anderen Pfaden unterschieden werden kann, über die
legitimierter Verkehr empfangen wird. Eine Vorgehensweise bei der
Gewichtung 230 wird eingesetzt, um die Gewichtung von verschiedenen
Verkehrspfaden einzustellen, die in der Pfadmatrix detektiert werden,
sodass dem wahrscheinlichsten Pfad des Angreifers die höchste Gewichtung
gegeben wird. Die Vorgehensweise bezüglich der Zeit 228 wird
auch auf die Pfadmatrix 226 angewendet, sodass die identifizierten
Pfade nur für
einen vorher festgelegten Zeitraum in der Pfadmatrix bleiben, wenn
der Pfad nicht durch die Erfassung von gleichen oder wenigstens übereinstimmenden
Pfaden in dem Zugangsfeld innerhalb dieses vorher festgelegten Zeitraums
erneuert wird.
-
Wie
in 5A gezeigt ist, enthalten die Daten in dem Zugangsfeld,
die sich auf die empfangenen Rückverfolgungspakete
beziehen, die drei IP-Adressen des nächsten Routers, des Quellrouters
und des vorangehenden Routers von dem Router, von dem das Rückverfolgungspaket
erzeugt wurde. Wie in 5B gezeigt ist, kann eine verlinkte
Liste von Rückverfolgungspaketen,
die einen Verkehrspfad (A, B, C, D, E und F sind alle IP-Adressen
von Routern entlang des identifizierten Pfades) angeben, in dem
Zugangsfeld erfasst werden, indem die Quell- und die vorangehenden
IP-Adressen von einem Router mit den nächsten und den Quell-IP-Adressen
von einem Router, der einen Sprung weiter weg ist, abgeglichen werden.
Der erfasste Pfad wird dann in der Pfadmatrix abgelegt, 5C.
Eine Gewichtung kann jedem detektierten Verkehrspfad zugeordnet
werden, indem eine Vorgehensweise bezüglich der Gewichtung implementiert
wird, die von dem Abstand des erzeugenden Routers von dem Opfer
abhängt, wie
er in dem TTL-Feld angegeben ist. Die Vorgehensweise favorisiert
vorzugsweise die Rückverfolgungspakete,
die von Routern empfangen wurden, die nahe am Opfer sind, zum Beispiel
eine, bei der die Gewichtung, die jedem Paket zugeordnet ist, sich
mit jedem zusätzlichen
Sprung weiter weg um die Hälfte
verringert, wie in der Tabelle unten gezeigt ist.
-
-
Die
Gewichtung, die für
einen bestimmten erfassten Pfad berechnet wird, wird als Aggregat,
z. B. eine Summe, aus den einzelnen Gewichtungen der Pakete, die
den Pfad bilden, berechnet. Deshalb enthält ein Pfad, der in der Pfadmatrix
erfasst und abgelegt ist, eine berechnete aggregierte Gewichtung.
Die aggregierte Gewichtung hängt
von dem Abstand zu dem Opfer ab, den der Pfad überspannt. Die höhere Gewichtung,
die Routern gegeben wird, die ein nähergelegener Router offensichtlich
bekommt, bezieht sich auf die Tatsache, dass, während es möglich ist, eine Rückverfolgungsnachricht
mit einer TTL, die größer als
der Abstand ist, den der Angreifer von dem Opfer hat, zu "verulken", da eine TTL von
255 die maximal mögliche
TTL ist, und sie für jeden
durchlaufenen Router dekrementiert wird, es dem Angreifer unmöglich ist,
ein Paket mit einer TTL zu "verulken", die kleiner als
sein Abstand zur dem Opfer ist. Deshalb werden Rückverfolgungsnachrichten, die von
einem näher
gelegenen Router empfangen werden, als sicherer bewertet und ihnen
eine höhere
Gewichtung gegeben.
-
Die
Frequenz des Erscheinens von Pfaden in den empfangenen Rückverfolgungsnachrichten
spiegelt sich auch in der Gewichtung wieder, die in der Pfadmatrix
gespeichert ist. Wenn ein Pfad nach einer vorangegangenen Erfassung
wieder erfasst wird, wird der Gewichtungswert des gesamten Pfades
erhöht,
z. B. verdoppelt.
-
Wenn
eine Gewichtung in der Pfadmatrix einmal eine Schwelle überschreitet,
löst dies
eine Verarbeitungsprozedur für
einen vermuteten Angriff aus. Es kann natürlich sein, dass der Empfang
von starkem Verkehr aus legitimen Gründen auftritt, die dem Benutzer
bekannt sind (zum Beispiel die Veröffentlichung einer neuen Software
auf der Seite), und es ist wichtig, dem Benutzer zu ermöglichen,
zu entscheiden, ob ein Dienstverweigerungsangriff stattfindet.
-
Während eines
Dienstverweigerungsangriffs kann ein Angriff gestartet werden, um
das Opfer zum Erkennen eines falschen Pfades des Angreifers zu verleiten.
Außerdem
kann ein Angriff auch gestartet werden, um das Opfer mit verulkten
Rückverfolgungsnachrichten
zu überfluten,
was den Betrieb des Überwachungsagenten
während
dieses Überwachungsprozesses
verhindert. Die Weiterleitungsrate von Nachrichten kann durch die
Firewall begrenzt sein, die vor dem Benutzernetzwerk installiert
ist. Auf diese Weise kann die Firewall einen Teil der Rückverfolgungspakete
verwerfen, wenn die Rate zu hoch ist. Die Gewichtung eines Pfades
in der Pfadmatrix hängt
auch von der Frequenz des Empfangs von Rückverfolgungspaketen von Quellen
entlang des Pfades ab, folglich kann ein böswilliger Benutzer mit einem
Rückverfolgungsangriff
eine Pfadinformation erzeugen, die stark gewichtet ist. Eine Lösung wird
durch das Protokoll geschaffen, in dem der Überwachungsagent entweder direkt
oder indirekt bei einem entfernten Router anfordern kann, wenn von
dem Router vermutet wird, dass er sich entlang des Pfades des Angreifers
befindet, seine Erzeugungsfrequenz von Rückverfolgungsnachrichten zu
erhöhen,
um zu ermöglichen,
dass der wirkliche Pfad leichter erfasst wird. Ein sicherer Signalisierungsmechanismus,
wie unten mit Bezug auf 7 beschrieben ist, kann benutzt
werden.
-
Der Überwachungsagent 204 verwendet
den Authentifizierungsteil 222, um richtige und falsche
Pfade zu unterscheiden. Um den Verarbeitungs- und Signalisierungsverwaltungsaufwand
zu verringern, wird die Authentifizierung vorzugsweise nur während einer
vermuteten Dienstverweigerungssituation verwendet. Wenn die Ressourcen
des Systems wegen böswilligen
Verkehrs, der das System überflutet,
verstopft werden, authentifiziert der Überwachungsagent 204 folglich
die Ketten in der Pfadmatrix. Bei diesem Verfahren verwenden wir
eine TTP (vertrauenswürdige
dritte Partei, Trusted Third Party). Jeder ISP hat seinen eigenen
geheimen Schlüssel,
der vorzugsweise kontinuierlich variiert wird, und wird von seinen
Routern verwendet, um die Rückverfolgungsnachrichten
zu signieren, die sie erzeugen. Der ISP verteilt den aktuellen geheimen
Schlüssel an
die rückverfolgungfähigen Router
unter seiner Steuerung, und verteilt dann dieses Geheimnis sicher
an die anderen ISPs, die die Rückverfolgungsprotokolle
unterstützen.
Die Router, die Rückverfolgungsnachrichten erzeugen,
signieren sie mit der Information H (geheimer Schlüssel des
ISPs, Nachricht), wobei Nachricht der Rest der Rückverfolgungsnachricht ist.
-
Die
Rückverfolgungsnachricht
enthält
ein Feld, das den ISP identifiziert, der den Router verwaltet. Ein Opfer,
das eine Nachricht authentifizieren möchte, sendet eine Anfrage an
den ISP des Opfers, die den Identifikator des ISP angibt, der den
Router verwaltet, und es kann entweder einem geheimen Schlüssel von
seinem ISP empfangen, um die Nachricht selbst zu authentifizieren,
oder die Nachricht an den ISP zur Authentifizierung weiterleiten,
und eine Nachricht erhalten, die anzeigt, ob die Nachricht echt
oder falsch ist. Der geheime Schlüssel jedes ISPs wird periodisch
aktualisiert, zum Beispiel alle 15 Minuten. Die selektive Authentifizierung
des Rückverfolgungspakets
erfordert keine exzessive Bearbeitungsbelastung, aber das Opfer
kann weiterhin einen Pfad eines Angreifers unter der Verwendung
von ausschließlich
sicheren Informationen auswerten. Zum Beispiel kann die Authentifizierung
nur bei einem vermuteten Dienstverweigerungsangriff ausgeführt werden,
und optional nur, wenn eine unverhältnismäßige Anzahl von Rückverfolgungsnachrichten
empfangen wird. Folglich findet Authentifizierung eines Rückverfolgungspakets
nur statt, nachdem ein Pfad des Verkehrs eine vorher festgelegte
Gewichtung in dem entsprechenden Eintrag in der Pfadmatrix erreicht.
Wenn der Pfad des Verkehrs dieser Authentifizierung nicht standhält, wird
der verworfen.
-
Nach
dem ein wahrscheinlicher Pfad des Angreifers erfasst und während eines
Dienstverweigerungsangriffs authentifiziert wurde, wird der Pfad
zu dem Angriffabmilderungsagenten 212 weitergeleitet, damit
er mit seinen Abmilderungsprozeduren beginnt.
-
Während eines
Dienstverweigerungsangriffs kann sogar ein Pfad, der in der Pfadmatrix
erfasst und authentifiziert wurde, nicht der richtige oder einzige
Angreiferpfad sein. Der Angriffabmilderungsagent soll mit einem
Router zusammenarbeiten, der von dem Opfer entfernt und so nah wie
möglich
an dem Angreifer ist, um den Angriff zu beenden, und verwendet vorzugsweise
zuerst eine Markierungsprozedur in dem ausgewählten Router für den Verkehr
in Richtung des Opfers.
-
Dieser
Router ist normalerweise ein Router am Netzwerkrand nahe an dem
Angreifer. Die Markierungsprozedur ermöglicht dem Opfer, den Verkehr
zu charakterisieren, der von dieser Netzwerkeinheit kommt. Wenn
der Verkehr am Ort des Opfers ankommt, kann das Opfer überprüfen, ob
dieser Verkehr für
die Dienstverweigerungssituation verantwortlich ist, und kann den
Angreiferpfad weiter verifizieren. Die Markierung wird auf der Basis
einer genau definierten Zieladresse (der des Opfers) ausgeführt, wie
in 6 dargestellt ist. Wenn ein Paket, das an das
Opfer gerichtet ist, an dem ausgewählten Router 300 ankommt,
markiert der Router das Paket. Dieser ausgewählte Router muss den Protokollstapel 200 implementieren,
um dem Opfer zu ermöglichen,
damit zu kommunizieren, entweder direkt oder indirekt (über die
ISPs), um die Markierungsprozedur einzuleiten. Die Markierungsprozedur
wird vorzugsweise von dem Opfer mit einem sicheren Signalisierungsmechanismus
eingeleitet und gesteuert. Ein bevorzugter Signalisierungsmechanismus,
wie in 7 dargestellt ist, ist einer, bei dem das Opfer
seinen ISP in dem Signalisierungsmechanismus als eine vertrauenswürdige dritte
Partei (TTP, Trusted Third Party) behandelt, der wiederum den entfernten
ISP als weitere TTP behandelt. Der entfernte ISP führt dann
die angeforderte Aktion mit dem entfernten Router aus.
-
Mit
Bezug auf 7 kann ein Opfer eine Nachricht
M an den entfernten Router sicher kommunizieren. Die Nachricht enthält die IP-Adresse des Opfers
und des entfernten Routers und eine Anfrage an den entfernten Router,
eine Aktion auszuführen,
die sich auf den Verkehr bezieht, der an die IP-Adresse des Opfers
gerichtet ist, um eine Erzeugungsrate von Rückverfolgungsnachrichten zu
verändern
und mit der Markierung von Paketen zu beginnen oder einen Filter
zu installieren (der unten beschrieben wird). Das System des Opfers verschlüsselt zuerst
die Nachricht mit seinem eigenen geheimen Schlüs sel Ks_Vic, den es mit seinem
ISP teilt, und verschlüsselt
dann das Ergebnis mit dem öffentlichen
Schlüssel
des ISPs Kp_ISP. Das Ergebnis wird zu dem lokalen ISP 208 gesendet.
Der lokale ISP entschlüsselt
die Nachricht, identifiziert den ISP des entfernten Routers, verschlüsselt die
Nachricht M mit seinem eigenen geheimen Schlüssel Ks_V_ISP, den er mit dem
entfernten ISP 210 teilt, und verschlüsselt das Ergebnis mit dem öffentlichen
Schlüssel
des entfernten ISPs Kp_R_ISP. Das Ergebnis wird zu dem entfernten
ISP gesendet. Der entfernte ISP entschlüsselt die Nachricht, liest
sie und stellt fest, ob die angeforderte Aktion in seiner eigenen
Vorgehensweise bei der Routerverwaltung enthalten ist. Wenn dies
so ist, verschlüsselt
er die Nachricht mit dem geheimen Schlüssel des ausgewählten Routers
Ks_R, und sendet sie zu dem ausgewählten Router. Nach dem Empfang
entschlüsselt
der ausgewählte
Router die Nachricht und führt
die angeforderte Aktion aus. Der entfernte ISP sendet auch einen
Statusbericht direkt an das Opfer.
-
In
einer Ausführung
wird die Markierung in dem TTL-Feld des IP-Kopfes ausgeführt. Normalerweise wird das
Feld von einem Sender auf 64 gesetzt. In unserem Fall wird die TTL-Information
von dem ausgewählten
Router auf eine variable Zahl, die von 64 verschieden ist, eingestellt,
was nicht zu einer TTL führt,
die von dem Opfer empfangen wird, die gleich der irgendeines signifikanten
Anteils des aktuellen Verkehrs ist. Das Opfer gibt diese Zahl dem
Router an, folglich erkennt er Pakete, die mittels einer charakteristischen
TTL ankommen, die gleich der angegebenen anfänglichen TTL abzüglich der
Anzahl von Sprüngen
ist, die der Router entfernt ist. Das Opfer kennt den Abstand zu
dem ausgewählten
Router aus den Informationen in den authentifizierten Rückverfolgungspaketen.
Um die Tatsache zu berücksichtigen,
dass die Pakete nicht immer dem gleichen Pfad in dem Netzwerk folgen,
was während
einer Stausituation wie einem Überflutungsangriff
sogar wahrscheinlicher ist, kann das Opfer den markierten Verkehr
durch einen Bereich von TTL-Werten charakterisieren.
-
Ein
Vorteil von dieser Prozedur ist, dass der Angreifer die Identität des ausgewählten Routers
nicht wissen kann, der die TTL-Information
konfiguriert. Darüber
hinaus verursacht die Markierungsprozedur keinen zusätzlichen
Verkehr in dem Netzwerk, was eine wichtige Überlegung ist, da die Bandbreite
des Netzwerks der am stärksten
belasteten Parameter während
eines Überflutungsangriffs
ist.
-
Ein
potenzielles Problem ist die Möglichkeit
einer Schleife in der Leitweglenkung an dem Router, der das Paket
markiert, und wenn der Router die TTL kontinuierlich aktualisiert,
kann das Paket für
unendliche Zeit in dem Netzwerk bleiben. Dieses Problem kann gelöst werden,
indem in dem Protokoll angegeben wird, dass der Wert der TTL im
Vergleich mit der TTL des ankommenden Pakets von dem ausgewählten Router
und/oder durch Markieren nur eines Anteils der Pakete, die an das
Opfer gerichtet sind, statt einen Markierungsvorgang auf alle Pakete
anzuwenden, die an das Opfer gerichtet sind, nicht erhöht werden
darf.
-
Der
Angriffabmilderungsagent 212 überwacht dann die ankommenden
markierten Pakete, um festzustellen, ob der böswillige Verkehr vorherrscht
oder nicht, oder wenigstens den ausgewählten Router signifikant durchläuft. Um
böswilligen
Verkehr von legitimem Verkehr zu unterscheiden, können bekannte
Verfahren verwendet werden. Der Angriffabmilderungsagent kann auch
feststellen, ob ein signifikanter Anteil von seinem Verkehr, der
den ausgewählten
Router durchläuft,
legitim ist. Wenn dies so ist, kann er entscheiden, eine Markierungsprozedur
an einem anderen ausgewählten
Leitweg einzusetzen, um festzustellen, ob der Effekt auf den legitimen
Verkehr geringer ist, wenn ein Ausgangsfilter installiert würde. Eine
Art, das Problem von anonymen Überflutungsangriffen
zu lösen,
ist, nur böswilligen
Verkehr in einem Router nahe am Angreifer zu eliminieren. Das Opfer
muss jedoch den bösartigen
Verkehr gut genug charakterisieren können, sodass er von dem legitimen
Verkehr perfekt unterschieden werden kann. Das Problem ist, dass
eine solche Charakterisierung nicht leicht und manchmal unmöglich auszuführen ist,
und auf jeden Fall zeitraubend ist, und folglich im Umgang mit hochentwickelten
Dienstverweigerungsangriffen, wie sie auftreten, nicht nützlich sein
kann.
-
Deswegen
ist das bevorzugte Verfahren nach der vorliegenden Erfindung, geeignete
Router auszuwählen,
um nahe an dem Angreifer zu sein, und die Auswirkungen auf den legitimen
Verkehr wenn möglich
zu minimieren, und allen Verkehr, der an das Opfer gerichtet ist,
an dieser Stelle gleich zu behandeln.
-
Ein
Verfahren, das in 8 dargestellt ist, ist, den
ausgewählten
Router zu konfigurieren, sodass er Pakete blockiert, die mit der
Zieladresse des Opfers ankommen. Dieser Ansatz erfordert nur die
Fähigkeit
des Routers, einen Ausgangsfilter einzusetzen. Der Angriffabmilderungsagent 212 kann
den Einsatz eines Ausgangsfilters an dem ausgewählten entfernten Server mit
einem sicheren Signalisierungsmechanismus wie mit Bezug auf 7 oben
beschrieben einleiten. Der entfernte Router 300 verwirft
dann alle ankommenden Pakete, die an die IP-Adresse des Opfers gerichtet
sind, während
einer vorher festgelegten Zeitdauer, wenn er nicht von dem Opfer über seinen
ISP anders angewiesen wird.
-
Statt
der Installation eines Filters in einem Router, der durch sich selbst
einen Angreifer mit einer gewünschten
Dienstverweigerung für
legitimierte Benutzer darstellen kann, deren Verkehr auch ausgefiltert
wird, kann eine Dienstqualitäts(QoS,
Quality of Service)-Funktion
des weiterleitenden Netzwerks genutzt werden. Traditionell liefert
QoS ein Netzwerk mit der Fähigkeit,
ausgewähltem
Netzwerkverkehr bessere Dienste bereitzustellen. Bei dieser Alternative
wird der Verkehr, der an das Ziel gerichtet ist, an dem ausgewählten Router 300 eine
geringere Kategorie der QoS-Priorität zugewiesen als dem normalen,
nach besten Möglichkeiten
weitergeleiteten Verkehr, was folglich ermöglicht, böswilligen Verkehr über die
QoS-Funktionen zu verwalten. In dieser Ausführung kann diese Kategorisierung
von dem Opfer in Zusammenarbeit mit dem ausgewählten Router mit einem QoS-Protokoll
ausgeführt
werden, auf das sich als Differenzierter Dienst bezogen wird.
-
Differenzierter
Dienst (DS), wie er in S. Blake et al: RFC-2475, An Architecture
for Differentiated Service beschrieben ist, ist ein multiples Dienstmodell,
das unterschiedliche Anforderungen der QoS befriedigen kann. Die
Architektur ist flexibel in dem Sinne, dass sie keine speziellen
Dienste definiert. Pakete, die an dem Rand des Netzwerks ankommen
(der erste Router, der DS-fähig
ist) werden markiert. Bei diesem Markierungsvorgang wird ein Feld
des Differenzierten Dienstes auf einen ausgewählten Wert gesetzt. Die Markierung,
die ein Paket bekommt, identifiziert die Verkehrsklasse, zu der
es gehört.
Nachdem es markiert wurde, kann ein Paket dann in das Netzwerk weitergeleitet,
verzögert
oder verworfen werden. Wenn ein DS-markiertes Paket an einem DS-fähigen Router
ankommt, wird das Paket zu seinem nächsten Sprung entsprechend
dem sogenannten Pro-Sprung-Verhalten (per-hop behaviour), das der
Paketklasse zugeordnet ist, weitergeleitet. Das Pro-Sprung-Verhalten
gibt an, wie das Paket verwaltet wird. Diese Information wird von
dem DS-Feld bestimmt.
-
Für einen
Differenzierten Dienst versucht das Netzwerk 302, eine
besondere Art von Dienst auf Basis der QoS zu liefern, der von jedem
Paket angegeben wird. Die Funktionen von DS am Rand des Netzwerks, bei
denen Pakete mit einer QoS-Kategorie markiert werden, werden in
dieser Ausführung
durch einen ausgewählten
Router 300 erreicht, der einen geeigneten Wert in dem DS-Feld
auf Anfrage von dem Opfer einstellt. Wiederum kann ein sicherer
Signalisierungsmechanismus, wie oben in Bezug auf 7 beschrieben,
verwendet werden. Die Pakete werden mit einer geringen Priorität markiert,
und können
von dem Stauvermeidungsalgorithmus, der von den QoS-Protokollen bereitgestellt
wird, verworfen oder verzögert
werden. Dies löst
das Problem der vollständigen
Lahmlegung des Verkehrs, das bei einem Ausgangsfilter auftritt.
Alle ankommenden Pakete werden nicht automatisch von dem ausgewählten Router
verworfen, sondern werden nur mit einer QoS-Kategorie mit geringerer
Priorität
markiert, und können
das Opfer erreichen, wenn zum Beispiel der Dienstverweigerungsangriffs
abklingt. Der Überflutungsangriff
wird nicht nur von dem Opfer oder nur von dem ausgewählten Router
verwaltet. Alle Netzwerkeinheiten entlang dem Pfad des Angreifers
können
zur Abmilderung des Angriffs beitragen. Wenn der markierte Verkehr
manche Teile des Netzwerks verstopft, kann er leicht verworfen werden.
-
Folglich
liefert die vorliegende Erfindung eine effektive und verlässliche
Art, mit Dienstverweigerungsangriffen umzugehen. Das Netzwerk des
Opfers wird nicht von dem feindlichen Verkehr verstopft und die
Verbindungsfähigkeit
des Opfers bleibt erhalten.
-
Es
sei erwähnt,
dass Variationen und Modifikationen in Bezug auf die oben beschriebenen
Ausführungen
gemacht werden können,
ohne den Bereich der Erfindung zu verlassen, der durch die angehängten Ansprüche definiert
ist. Zum Beispiel können,
statt Pakete, die separat gesendet werden, zu den Daten zurückzuverfolgen,
die ihre Erzeugung auslösen,
Verfolgungsdaten von Weiterleitungsroutern in Pakete integriert oder
daran angehängt
werden.