本次分享的论文主题为网络拓扑结构混淆。该工作设计了一种安全且实用的网络拓扑混淆方案,能够通过均衡路径跟踪流密度,防止攻击者瞄准网络节点和链路中的瓶颈、实施链路洪泛攻击。文中提出的解决方案可以保留路径跟踪信息的实用性,确保网络运营商可继续使用路径跟踪工具来调试网络。
该论文由来自韩国科学技术院、帕多瓦大学以及西班牙电信研究部的研究人员共同完成,目前已被网络安全领域顶级会议NDSS 2022录用。
01【研究背景】
分布式拒绝服务攻击(DDoS攻击)是当今互联网的主要攻击威胁之一,而大量不安全的物联网设备接入网络导致安全威胁加剧。目前的DDoS攻击主要有两种形式:(1)攻击目标为终端主机或服务器,即基于大规模流量的攻击;(2)攻击目标为网络基础设施,如链路洪泛攻击(Link Flooding Attack,LFA)。
前者可以通过内容分发网络(CDN)有效阻止。而在LFA中,攻击者期望通过注入大量(独立的)数据流,并使其同时抵达核心网络链路, 致使网路带宽超负载、网络丧失连通性。为实现此目的,攻击者可以使用小规模、相互独立且与正常流量不可区分的数据流实施攻击,使网络运营商难以检测并防御。
Meier 等人的研究表明,在网络拓扑未知的情况下,针对任意链路执行 LFA 需要的流量是网络拓扑已知时的五倍[1]。这说明对网络拓扑结构有一定了解是执行高效、隐蔽攻击的前提。因此,本文提出了网络拓扑结构模糊化的防御机制,让攻击者难以利用网络路径跟踪工具(如Traceroute)直接获得真实且详细的网络拓扑信息,提升其实施DDoS攻击的代价。
02【威胁模型】
攻击者的目标是通过注入大量与正常流量无异的低容量数据流,执行有效的链路洪泛攻击(LFA),使重要的网络节点和链路发生拥塞。这类网络故障会影响大量用户的互联网访问行为,Coremelt[2]和Crossfire[3]是证明 LFA 实际可行性的代表性研究工作(如图1和图2)。
在此威胁模型中,攻击者无需事先了解与路由器和链路的容量或负载相关的任何信息,他们可以控制大量恶意主机,但对网络拓扑结构一无所知。此外,该模型假设攻击者不知道网络的子网配置信息,且只能利用有限的资源进行受限的攻击。在攻击过程中,攻击者可以使用路径跟踪工具(traceroute)获得网络拓扑结构,并使用最先进的别名解析技术来检查各种路由器接口是否属于同一路由器。
图1:LFA的Coremelt攻击的示意图[5]
图2:LFA的Crossfire攻击的示意图[5]
03【EqualNet介绍】
本文提出了针对LFA的检测和防御方案EqualNet,其通过生成一个虚拟拓扑,来降低真实网络拓扑结构被泄露的可能性。EqualNet会持续监控拓扑信息的泄露情况,并在拓扑泄露程度超过网络运营商指定的“混淆阈值”时动态混淆网络。它通过创建虚拟节点来降低真实节点和链路的流行度,并长期隐藏真实节点不被攻击者发现。
图3:EqualNet的示意图[4]
EqualNet系统的执行流程如图3所示,分为四个步骤:
(1)网络运营商提供物理拓扑结构及其转发行为、混淆阈值和路径跟踪信息。
(2)拓扑分析器从攻击者的角度计算逻辑拓扑和路径跟踪流分布。
(3)拓扑混淆器生成一个虚拟拓扑,使路径跟踪流分布均衡。
(4)拓扑部署器持续监控路径跟踪流,并生成包括真实或虚拟IP地址的路径跟踪响应。
EqualNet有两种运行模式:
第一种是【离线评估】网络拓扑情况。根据网络运营商提供的网络拓扑信息,以及混淆阈值来离线计算所需的虚拟节点数,并公开生成的虚拟拓扑。这种虚拟拓扑会使用尽量少的虚拟节点数以最大可能降低网络拓扑泄露程度。该方法适用于不想创建太多虚拟节点的网络运营商,然而其挑战在于要求网络运营商能掌握有关攻击者行为的信息(可能不可用或不准确)。
第二种是【完全在线运行】。在路径跟踪数据流抵达时实时执行路径混淆任务,无需事先定义攻击行为。网络运营商需要提供在任何一对网络节点之间所能容忍的最大跟踪路径数量;EqualNet需要先计算拓扑泄露程度,并实时生成混淆节点,保证拓扑泄露不超过容忍数。
04【安全分析】
1. 对抗基于 RTT 的指纹识别攻击
攻击者可能尝试通过traceroute响应中的RTT 信息来区分网络中的真实节点,以实现虚拟IP和物理节点间的映射。其最差情况是攻击者(图4中主机A)能够获得具有无噪声 RTT 测量值的跟踪数据包。为了证明 EqualNet 的安全性,论文在测试环境开展了模拟测试。结果证明(图4):RTT无法充当路由器的指纹、不能显示正在使用EqualNet,也不能用来找到真实节点和虚拟节点的对应关系。
图4:SDN 路由器中RTT测试结果分布
2. 防止别名解析
别名解析(Alias resolution)技术可以用来发现多个 IP 地址是否属于同一个路由器(的不同接口)。这种技术可以让攻击者将一组虚拟 IP 地址关联到真实网络节点,从而破坏 EqualNet 背后的混淆逻辑。为了避免此类攻击,EqualNet 针对三种广泛使用的别名解析方法(Scamper、Iffinder、kapar)提供有效的攻击防御方案,分别是公共源分析、公共 ID 分析和公共邻居分析。验证实验结果表明(图5), EqualNet 中实现的安全机制可使攻击者无法检测到其中的别名。
图5:Scamper(上)、Iffinder(中)和 Kapar(下)测试结果
3. 对抗拓扑推理攻击
攻击者可能通过掩码聚合的方式推测子网级的网络拓扑结构。本文测量了攻击者可推断的子网级拓扑结构与真实网络拓扑结构之间的相似性,结果证明(图6):在最差情况下,攻击者生成的拓扑结构与真实结构相似度仅为60%。而在某些情况下(如使用/29前缀),攻击者可以非常准确地推断出子网级别的泄露。然而他们无从得知每个子网中的节点数量,因此无法推断网络中节点或链路的流行度。
图6:各种前缀的泄露相似度(泄露相似度越低,虚拟拓扑越安全)
4. 对抗跨虚拟拓扑攻击
为了生成能够长期保持安全的虚拟拓扑,EqualNet 不仅分析给定的虚拟拓扑实例,还监控因在不同时间暴露多个虚拟拓扑而导致的拓扑泄露。首先,EqualNet 向每个真实节点添加固定数量的虚拟节点,并保证真实节点始终隐藏于虚拟拓扑中,从而防止攻击者发现真实节点。其次,EqualNet 为给定的traceroute flow保持相同的网络路径,让攻击者在路径探测时始终收到相同信息。最后,当一个节点流行度提高时,EqualNet 会为该节点及其所有邻居节点分别创建一个虚拟节点,防止攻击者通过别名解析技术降低EqualNet安全性。
5. 对抗拒绝服务攻击
攻击者可以向网络注入大量的追踪数据包,使SDN控制机器崩溃或资源耗尽,从而执行拒绝服务攻击。该攻击可以通过使用分布式的SDN进行缓解。此外,攻击者也可能通过耗尽IP地址资源的方式阻止EqualNet的执行,但由于其无法获知节点和链路的流行程度,因此无法干扰 EqualNet 创建大量虚拟节点。
05【总结】
本文提出了一种新颖的主动网络混淆方案EqualNet,来防御AS内的链路洪泛攻击LFA。EqualNet 通过生成路径跟踪流均衡分布的虚拟拓扑结构,来隐藏流行的物理节点和网络链路,同时保留了路径跟踪信息的功能。作者使用软件定义网络实现了 EqualNet 的原型,并在软件和硬件上进行了实验,以评估其可行性和安全性。
原文链接
https://www.ndss-symposium.org/wp-content/uploads/2022-154-paper.pdf
参考文献
[1] R. Meier, P. Tsankov, V. Lenders, et al. NetHide: Secure and Practical Network Topology Obfuscation [C]. Proceedings of the USENIX Security Symposium. USENIX, 2018.
[2] A. Studer and A. Perrig, “The Coremelt Attack,” in Proceedings of the European Conference on Research in Computer Security. Springer, 2009.
[3] M. S. Kang, S. B. Lee, and V. Gligor, “The Crossfire Attack,” in Proceedings of the IEEE Symposium on Security and Privacy. IEEE, 2013.
[4] Kim J, Marin E, Conti M, et al. EqualNet: a secure and practical defense for long-term network topology obfuscation[J]. Proceedings of the USENIX NDSS (To Appear), 2022.
[5] 孙文悦. SDN网络中LFA攻击检测方法的研究[D].江苏大学,2022.DOI:10.27170/d.cnki.gjsuu.2022.001587.
郎峙煜,编辑&审校|张明明
声明:本文来自NISL实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。