入侵回應系統:自動化資安防禦的根本

28 分鐘閱讀

現代資安防禦中,單純依靠被動的入侵檢測系統(IDS)已不足以應對日益複雜的網路攻擊。入侵回應系統(IRS)作為 IDS 的進階版本,能自動執行預先設定的防禦策略,有效阻斷惡意活動,並將系統還原到安全狀態。這就像在傳統的警示系統上,加裝了自動滅火裝置,能在火災初期就自動撲滅,避免更大的損失。

IRS 的核心價值在於其自動化回應能力。不同於 IDS 需要人工介入分析和處理警示,IRS 能夠在檢測到入侵的第一時間,自動執行預先設定的防禦措施,例如阻斷惡意 IP 地址、關閉受攻擊的連線埠、甚至隔離受感染的伺服器。這大大縮短了回應時間,降低了人為錯誤的風險,也減輕了安全團隊的負擔。

一個典型的 IRS 系統由四個主要元件構成:檢測元件、回應元件、監控元件和管理系統。檢測元件負責識別異常或惡意行為,通常繼承自 IDS 的功能。回應元件是 IRS 的核心,它根據預先定義的規則,自動執行防禦措施。監控元件持續監控系統的健康狀態,並將相關資訊回饋給管理系統。管理系統則負責組態和管理整個 IRS 的運作,包括設定檢測規則、回應策略和監控指標等。

在實際應用中,IRS 的自動化回應能力,能有效提升資安事件的處理效率。舉例來說,在金融交易系統中,每一秒的延遲都可能造成巨大的損失。當系統遭受 DDoS 攻擊時,IRS 能夠在幾秒鐘內自動啟動流量限制策略,有效阻斷攻擊流量,保障系統的正常運作。

然而,IRS 也並非完美無缺。由於其依賴於預先設定的規則,因此在面對新型攻擊時,可能缺乏靈活性。此外,錯誤的組態也可能導致誤判,阻斷正常的流量。

因此,在佈署 IRS 時,需要仔細規劃和組態,並定期更新規則函式庫,以應對不斷變化的威脅。同時,也需要結合其他安全措施,例如威脅情報、漏洞掃描等,構建多層次的防禦體系。

玄貓解讀:軟計算與知識函式庫在DDoS防禦中的應用與挑戰

分散式阻斷服務(DDoS)攻擊一直是網路安全領域的一大威脅。為了有效應對這類別攻擊,研究人員不斷探索新的檢測技術。本文將探討兩種主流方法:軟計算和知識函式庫技術,分析它們在DDoS檢測中的優勢、侷限性以及未來發展方向。

軟計算技術:模糊不清中的精準定位

軟計算技術,如模糊集合、粗糙集合和神經網路,為處理不精確、不完整和不確定的資訊提供了有效途徑。在DDoS檢測中,這類別技術尤其適用於合法流量和攻擊流量資訊不足的情況。

軟計算的優勢

  • 處理不確定性:軟計算方法能夠在資訊不完整或不精確的情況下進行有效檢測。
  • 自適應性:神經網路等技術具備學習能力,可以適應不斷變化的網路流量模式。
  • 混合應用:粗糙集合、模糊集合和神經網路的結合使用,能夠進一步提升檢測系統的效能。

軟計算的挑戰

  • 引數敏感性:軟計算方法的效能往往高度依賴於使用者引數的設定,而這些引數的準確估計非常困難。
  • 執行時間:為了實作高檢測準確度和低誤報率,軟計算方法通常需要較長的執行時間,這在DDoS攻擊檢測中是一個不小的挑戰。
  • 監督 vs. 非監督學習:監督式和半監督式軟計算方法通常比非監督式方法表現更好,但非監督式方法在某些情況下能夠檢測到未知的攻擊。

玄貓觀點:軟計算技術在處理不確定資訊方面具有獨特優勢,但在實際應用中需要仔細調整引數,並考慮執行時間的限制。

知識函式庫技術:根據經驗的精準打擊

知識函式庫技術依賴於從歷史DDoS攻擊中獲得的先驗知識。防禦者根據這些知識建立規則或簽名,並在檢測過程中將新發生的網路事件與這些預定義的規則或簽名進行比對。

知識函式庫的優勢

  • 快速檢測:根據規則或簽名的比對通常比統計方法更快。
  • 高準確度:對於已知的DDoS攻擊型別,知識函式庫技術可以實作高檢測準確度和低誤報率。

知識函式庫的挑戰

  • 無法應對未知攻擊:對於零日DDoS攻擊等未知漏洞,知識函式庫技術由於缺乏相應的規則而失效。
  • 規則函式庫維護:隨著DDoS攻擊的多樣化,規則函式庫可能會變得非常龐大,導致比對時間增加。

Kim等人提出了一種根據規則的防禦方法,旨在快速檢測多種型別的DDoS攻擊。該方法透過規則引擎分析流量,識別異常流量,並根據預定義的規則集快速做出決策。

玄貓觀點:知識函式庫技術在應對已知DDoS攻擊方面非常有效,但需要不斷更新規則函式庫以應對新的攻擊型別。

案例分析:根據規則的DDoS檢測機制

Kim等人的方法首先收集固定時間間隔內的流量資料,然後使用規則引擎分析流量。該方法使用一組規則來識別異常流量,並嘗試有效利用此規則集來即時檢測DDoS攻擊型別。在分析過程中,該方法考慮了九個典型因素:TCP octet、TCP flows、TCP packets、UDP octet、UDP flows、UDP packets、TCP來源埠變異、TCP目的埠變異和來源IP位址變異。如果分析結果不超過臨界值,則認為該過程是正常的。否則,判斷為異常,並隨後阻止相應的來源IP。該方法還提供警示後診斷和重新計算臨界值的功能,以減少誤報。

案例分析:使用歸納學習和貝氏分類別器的DDoS攻擊檢測

[182]中報告了另一種使用歸納學習[59],[198]和貝氏分類別器[95]的DDoS攻擊檢測方法。作者賦予警示代理一套用於檢測DDoS攻擊的反應規則。作者監控TCP標誌速率以及是否存在洪水攻擊,以建立狀態-動作規則。他們利用DDoS攻擊中的規律性來幫助識別並啟用警示代理。為了獲得規則,作者使用機器學習演算法,使用TCP標誌速率的結果。他們使用多種方法來支援檢測網站上的各種攻擊。為了進行評估,作者使用了一個使用Linux機器的模擬網路環境,如圖4.17所示。它包括(i)使用Apache的Web伺服器,(ii)Web客戶端,(iii)DDoS攻擊者,(iv)包括封包收集代理在內的網路監控裝置,以及(v)警示生成代理。在這個環境中,他們測量TCP標誌速率。為了生成正常和攻擊流量模型,該方法使用兩種設定,一種使用正常的Web伺服器,另一種使用具有DDoS攻擊的Web伺服器。為了評估使用三種著名的分類別器C4.5,CN2和貝氏分類別器為警示代理生成的已編譯規則集的有效性,作者用比率{總數表示獲得的效能。

玄貓總結: 軟計算和知識函式庫技術各有優勢和侷限性。在實際應用中,可以將兩者結合使用,以提高DDoS檢測的準確性和效率。未來的研究方向包括:開發能夠處理未知攻擊的自適應知識函式庫、最佳化軟計算方法的引數設定、以及降低軟計算方法的執行時間。

知識函式庫防禦 DDoS 攻擊:NetBouncer 與 AAT 模型

根據規則的 DDoS 檢測:優點與挑戰

根據規則的 DDoS 檢測方法仰賴事先定義的規則來識別惡意流量。作者指出,相較於其他技術,他們建構的規則具有良好的檢測效能。

優點:

  • **快速啟動:**精心設計的根據規則的 DDoS 檢測器通常可以立即啟動檢測操作。
  • **高準確性:**對於已知的 DDoS 攻擊型別,可以實作非常高的檢測準確性和低誤報率。

挑戰:

  • **規則維護:**需要即時處理大量規則,以應對 DDoS 攻擊的變化。
  • **通用性不足:**缺乏能夠在多種網路環境中處理所有型別 DDoS 攻擊的通用知識函式庫 DDoS 防禦解決方案。

NetBouncer:根據受害者的知識型防禦

Thomas 等人提出的 NetBouncer 是一種根據受害者的知識型防禦解決方案,旨在保護網路資源免受 DDoS 攻擊。

運作方式:

  1. **區分合法與非法流量:**NetBouncer 區分資源的合法和非法使用,僅允許合法使用。
  2. **建立合法客戶端列表:**NetBouncer 維護一個已建立的合法客戶端列表作為參考。
  3. **合法性測試:**對於來自未知客戶端的流量,NetBouncer 會進行一系列合法性測試。
  4. **加入合法列表:**如果客戶端透過測試,NetBouncer 會將其增加到合法列表中,並在一定的合法性視窗期內接受來自該客戶端的後續封包。
  5. **流量管理:**流量管理子系統透過應用頻寬管理和速率控制方案來控制合法封包的傳輸,以確保合法客戶端不會濫用頻寬,並且目標伺服器不會不堪重負。

根據擴增攻擊樹(AAT)的 DDoS 模型

Wang 等人提出了一種根據擴增攻擊樹(AAT)的 DDoS 檢測演算法,用於模擬 DDoS 攻擊。

運作方式:

  1. **捕捉網路流量變化:**該模型捕捉由於 DDoS 攻擊而發生的網路流量的細微變化,以及主要受害者伺服器上網路流量傳輸的相應網路狀態轉換。
  2. **威脅評估:**使用根據 AAT 的 DDoS 模型(ADDoSAT)來評估主要受害者伺服器上異常封包的潛在威脅,並檢測此類別攻擊。
  3. **自下而上的檢測演算法:**根據 AAT 的自下而上的檢測演算法識別可能的 DDoS 攻擊。
  4. **進階特性:**與傳統的攻擊樹建模方法不同,Wang 等人的方法是根據進階特性的,它提供了額外的資訊,特別是關於狀態轉換過程。

優點:

  • **克服 CAT 建模的侷限性:**該模型可以克服 CAT 建模的侷限性。
  • **高檢測準確性:**實驗結果表明,該方法能夠以高檢測準確性和早期階段檢測 DDoS 攻擊。

玄貓對知識函式庫防禦的觀點

從玄貓的角度來看,知識函式庫防禦在 DDoS 攻擊防禦中扮演重要角色。透過整合先前的攻擊知識,可以更有效地識別和應對新型威脅。然而,知識函式庫防禦也面臨一些挑戰,例如規則的維護和通用性問題。因此,需要不斷研究和開發新的知識函式庫防禦技術,以提高其效能和適用性。

玄貓的建議:輕量級混合式防禦

玄貓認為,一種輕量級 DDoS 防禦解決方案,在硬體和軟體上實作監督式和非監督式學習器,使用具有最新知識的最佳特徵子集,可能是多種網路情況下 DDoS 檢測的理想選擇。這種混合式方法可以結合各種技術的優點,以實作更高的檢測準確性和更廣泛的適用性。

入侵防禦系統:DDoS 防禦的進階武器

入侵防禦系統(IPS)常被視為入侵偵測系統(IDS)的強化版。它們都能監控網路流量或系統活動,以尋找惡意行為。但與 IDS 不同的是,IPS 能夠主動阻止偵測到的入侵。通常,IPS 會透過產生警示、丟棄惡意封包、重置連線,或封鎖來自違規 IP 地址的流量來實作這一點。

過去在為一家大型電商設計資安防禦系統時,玄貓發現單純依靠 IDS 往往緩不濟急。攻擊發生後才收到警示,就像火災警示器響了才開始找水龍頭一樣。因此,匯入 IPS 成了提升防禦能力的關鍵一步。

IPS 的核心運作機制

一個典型的 IPS 包含管理系統、監控元件和偵測元件,這些部分與 IDS 非常相似。但不同之處在於,IPS 具有預防引擎,可以根據可疑流量的行為模式,執行一系列的預防措施。管理系統的職責是管理流量,並應用預防引擎提供的措施。

玄貓認為,IPS 的核心價值在於其主動性。它不僅僅是被動地發出警示,而是能夠在威脅真正造成損害之前,就將其攔截下來。

DDoS 防禦技術:多管齊下的策略

入侵防禦是透過軟體或硬體裝置來實作的,這些裝置能夠即時攔截偵測到的威脅,並阻止它們接近受害者。這對於防禦 DDoS、洪水攻擊和暴力破解攻擊非常有效。

現今,由於整個網際網路普遍缺乏足夠的安全基礎設施,這使得網際網路服務提供者(ISP)面臨巨大的壓力,他們需要自行預防和緩解針對其基礎設施和服務的 DDoS 攻擊。

即時 DDoS 防禦的挑戰

即時預防 DDoS 攻擊是一個實際的網路安全問題。你可以將 IPS 視為 IDS 的延伸。雖然 IPS 和 IDS 都會檢查網路流量以尋找攻擊,但它們之間存在關鍵差異。IPS 和 IDS 的目標都是偵測惡意或不需要的流量,並且它們都有可能做得很好,但它們在回應產生方面有所不同。

為了實作有效的預防,必須能夠儘早偵測到來源,然後採取適當的行動來識別攻擊來源。由於 DDoS 是一種協同攻擊,因此即時識別攻擊來源並不容易。此外,攻擊封包中來源 IP 地址的欺騙,也使得可靠的 DDoS 預防變得更加複雜。

玄貓在過去的經驗中發現,DDoS 防禦並非單一技術就能解決的問題。它需要結合多種技術和策略,才能構建一個完整的防禦體系。

常見的 DDoS 防禦方法

近年來,已經開發出許多 DDoS 預防方法。大多數預防方法在偵測到 DDoS 攻擊時,會採取以下一種或多種方式:

  1. 重新組態防火牆或路由器等安全機制,以阻止未來的攻擊。
  2. 透過過濾掉可能的攻擊封包,從攻擊流量中移除惡意內容。
  3. 透過適當的瀏覽器設定和重新組態其他安全和隱私控制,以避免未來攻擊的發生。

然而,為了實作有效的 DDoS 預防,識別真正的攻擊來源是一項至關重要的任務。由於網際網路的開放和分散式結構,識別真正的攻擊來源是一項艱鉅的任務,但在過去的幾年中,已經出現了幾種新穎的方法。IP 追蹤是這些機制中,用於識別網路中攻擊真正來源的一種強大候選方案。

IP 追蹤:追溯攻擊的源頭

正如我們之前討論過的,在 DDoS 攻擊中,攻擊者大多使用殭屍或反射器,利用欺騙的 IP 地址將攻擊封包傳送到受害者機器。可以嘗試手動以及自動偵測攻擊來源。它可以在受害者端或從中間路由器執行,並追溯到原始來源端。通常,使用從路由器到路由器的逐跳追蹤機制。因此,為了成功識別攻擊來源,網路之間的合作至關重要。然而,手動追蹤是一個繁瑣且耗時的過程。為了加快這個過程,研究人員引入了自動追蹤方案。一個有效的追蹤機制應具有以下特性:

  • 追蹤機制應該具有成本效益。
  • ISP 的參與應該很低。
  • 它不應在路由器或交換器中產生任何額外的記憶體成本。
  • 它應該產生低網路開銷。
  • 偵測的假陽性率應該很低。
  • 追蹤系統的佈署不應該是一個問題。
  • 追蹤機制應該能夠在單個封包的幫助下,識別攻擊的原始來源。

根據 Shannon 熵的自動追蹤範例

為了理解追蹤方案的工作原理,讓玄貓介紹一個使用 Shannon 熵的變體,在 [279] 中開發的追蹤方案的自動化範例。為了說明,我們使用圖 5.2 中所示的範例網路。在這個範例網路中,我們有六個 LAN(即,LAN1、LAN2、···、LAN6)和五個路由器(即,R1、R2、···、R5)。來自 LAN1、LAN3 和 LAN6 的多個攻擊者針對單個受害者。因此,在 DDoS 攻擊中,目標為受害者的流量包括合法流量以及攻擊和合法流量的組合。在圖 5.2 中,諸如 f3 的流量是合法流量,而 f1 和 f2 是攻擊和合法流量的組合。通常,在 DDoS 攻擊期間,流量的體積在短時間間隔內顯著增加。因此,人們可以在路由器 R2 和 R4 以及受害者處觀察到流量模式的顯著變化。相反,在路由器 R1、R3 和 R5 處,由於不存在攻擊流量,因此不會看到此類別變化或變化。一旦受害者感知到此類別變化,防禦者通常會嘗試…

在為某金融科技公司設計分散式系統時,玄貓發現流量異常偵測是早期預警的關鍵。透過監控路由器和交換器的流量模式,可以及早發現潛在的 DDoS 攻擊,並採取相應的防禦措施。

總結來說,DDoS 防禦是一個複雜且不斷演進的領域。透過結合入侵防禦系統、IP 追蹤技術,以及流量異常偵測等方法,我們可以更有效地保護網路基礎設施,免受 DDoS 攻擊的威脅。

玄貓(BlackCat)技術內容:DDoS 防禦追蹤技術深度解析

DDoS 攻擊溯源:根據熵值的網路追蹤

在分散式阻斷服務(DDoS)攻擊中,追蹤攻擊源頭是一項極具挑戰性的任務。傳統方法往往效率低下,且容易產生誤判。近年來,根據熵值的網路追蹤技術逐漸嶄露頭角,成為一種有效的 DDoS 防禦手段。

想像一下,你是一位網路安全工程師,負責保護一家大型電子商務網站免受 DDoS 攻擊。攻擊發生時,大量的惡意流量湧入,導致網站癱瘓。你必須迅速找出攻擊源頭,才能有效阻止攻擊。這時,根據熵值的追蹤技術就能派上用場。

熵值追蹤原理

熵值追蹤的核心思想是:透過監測網路流量的隨機性變化,來判斷攻擊源頭的位置。DDoS 攻擊通常會導致網路流量的隨機性顯著增加,因為大量的惡意流量來自不同的殭屍網路。

追蹤過程

參考圖 5.2,假設受害者位於網路中,並受到來自多個 LAN 的 DDoS 攻擊。追蹤過程如下:

  1. 流量監測:在路由器和受害者端監測網路流量,計算熵值等指標。
  2. 異常檢測:當受害者端的熵值出現顯著變化時,表示可能存在 DDoS 攻擊。
  3. 溯源請求:向受害者上游的路由器傳送追蹤請求。
  4. 逐級追蹤:收到請求的路由器,會根據自身監測到的熵值變化,判斷攻擊是否來自其下游網路。如果是,則繼續向上遊路由器傳送追蹤請求。
  5. 定位攻擊源:重複上述過程,直到找到攻擊源頭所在的 LAN。

例如,受害者發現流量熵值異常,判斷攻擊可能來自 R2 後面的網路,但並非來自 R1 後面的網路。因此,它會向 R2 傳送追蹤請求。R2 收到請求後,發現 LAN1 和 LAN3 後面的網路存在攻擊,於是將請求轉發給 R3 和 R4。R3 判斷攻擊來自 LAN1,而 R4 則判斷攻擊來自 LAN3 和 R4 自身。為了追蹤來自 LAN6 的攻擊,R4 需要將請求進一步轉發給上游路由器 R5。

熵值追蹤的假設前提

熵值追蹤技術的有效性,取決於以下幾個假設:

  • 假設 1:DDoS 攻擊會在短時間內導致網路流量的劇烈變化。
  • 假設 2:DDoS 攻擊流量來自大量的殭屍網路,因此攻擊流量遠高於正常流量。
  • 假設 3:在攻擊和非攻擊情況下,路由器的流量數量是穩定的。
  • 假設 4:在給定的時間間隔內,只發生一次 DDoS 洪水攻擊。

多樣化的熵值計算方法

為了克服上述限制,研究人員開發了多種根據熵值的追蹤方案,例如使用夏農熵的變體。這些方案旨在以低網路開銷和低誤判率來識別攻擊源。常用的指標包括:

  • 廣義夏農熵
  • 碰撞熵
  • Renyi 二次熵
  • 擴充套件熵
  • Kullback-Leibler 散度(資訊距離)

這些指標各有優缺點,研究人員不斷嘗試找到最適合特定網路環境的指標。

多種 DDoS 防禦技術:連結測試、封包標記與日誌

除了熵值追蹤外,還有許多其他的 DDoS 防禦技術,大致可以分為四類別:

  1. 連結測試
  2. 封包標記
  3. 封包記錄
  4. ICMP 追蹤訊息

連結測試:主動偵測攻擊源

連結測試是一種主動的追蹤方法,受害者會對每個傳入連結進行測試,判斷其是否為潛在的 DDoS 攻擊流量來源。如果測試結果為陽性,則聯絡最接近受害者的上游路由器,啟動遞迴追蹤程式,直到找到真正的攻擊源。

連結測試具有以下優點:

  • 能夠可靠地發現洪水攻擊的攻擊者。
  • 成本效益高,網路開銷相對較低。
  • 易於以分散式方式複製。

但它也有一些限制,例如會產生額外的流量,消耗大量的網路資源。

連結測試可以分為兩種方式:

  1. 輸入除錯:受害者識別攻擊後,根據攻擊封包的共同特徵產生攻擊簽名,並將訊息傳送給上游路由器,要求在上游路由器的輸出埠上安裝輸入除錯過濾器。該過濾器會顯示相關的輸入埠和負責產生攻擊流量的上游路由器。這個過程會遞迴重複,直到檢測到攻擊源。

    輸入除錯的優點是能夠有效地識別 DDoS 攻擊的真實來源,但缺點包括:

    • 管理資源的成本非常高。
    • 網路和路由器的開銷很大。
    • 與上游路由器通訊需要大量的時間。
    • 需要熟練的網路專業人員才能有效地進行追蹤操作。

  2. 受控洪水:由 Burch 和 Cheswick 提出,無需網路營運商的參與即可自動運作。該方案使用高頻寬(突發性)網路流量淹沒路由器上的傳入連結,然後觀察攻擊者的反應。它選擇最靠近受害者的傳入連結,並使用預先產生的網際網路拓撲圖,包括一些選定的主機。由於封包(包括合法封包)的丟包機率很高,因此受控洪水會對網路效能產生不利影響。此外,它還可能被惡意使用者濫用,從而對網路造成進一步的破壞。

玄貓認為,在實際應用中,應根據網路環境和安全需求,選擇合適的 DDoS 防禦技術。

總結來說,DDoS 防禦是一個複雜而多面的挑戰,需要綜合運用多種技術才能有效地應對。從根據熵值的流量分析到主動的連結測試,再到封包標記和日誌記錄,每種技術都有其獨特的優勢和侷限性。網路安全專業人員需要深入理解這些技術的原理和應用場景,才能在面對不斷演變的 DDoS 攻擊時,做出明智的決策,保護網路的安全和穩定。

分散式阻斷服務(DDoS)攻擊防禦技術:溯源與標記策略

分散式阻斷服務(DDoS)攻擊對網路安全構成嚴重威脅。瞭解並實施有效的防禦技術至關重要。本文將探討幾種DDoS防禦技術,重點介紹封包標記(Packet Marking)方法,並分析其優缺點及演進。

根據流量變化的溯源技術

其中一種溯源技術是透過監控網路鏈路上的流量變化來推斷攻擊路徑。這種方法根據一個假設:DDoS攻擊會導致特定鏈路上的封包到達速率顯著變化。受害者可以透過計算封包到達速率的變化來推斷攻擊鏈路,然後遞迴地應用此過程到上游路由器,直到找到攻擊源頭。

玄貓 認為,這種技術在理論上非常有效,但在實際應用中存在一些限制:

  • 管理負擔重: 需要持續監控和分析網路流量,增加了管理複雜性。
  • 協調需求高: 需要路由器、交換器甚至ISP之間的協調,這在分散式的網路環境中難以實作。
  • 技術門檻高: 需要熟練的網路管理員來組態和維護系統。

封包標記技術:溯源的新途徑

封包標記是一種用於識別DDoS攻擊源頭的重要技術。在封包標記方案中,路由器以確定性或機率性的方式,用自己的位址標記轉發的封包。當攻擊發生時,受害者可以利用封包上標記的資訊來追溯攻擊源頭。

封包標記技術主要分為兩種:

  • 確定性封包標記(DPM): 每個路由器都用其唯一識別符來標記外發封包。
  • 機率性封包標記(PPM): 路由器以一定的機率將自己的識別符寫入封包標頭的特定欄位。

機率性封包標記(PPM)

由Savage等人提出的機率性封包標記(PPM)方案,不需要事先了解整個網路的拓撲結構即可建立攻擊樹。這種方案可以在攻擊期間甚至攻擊之後使用。在PPM中,IP標頭只有一個欄位用於儲存標記資訊。從源到目的地的路徑上的每個路由器,都以一定的機率將其唯一識別符寫入封包標頭的該欄位中。透過寫入該欄位,路由器會覆寫之前存在的任何條目。受害者可以透過接收大量封包來重建從源到自身的路徑。

PPM方案的一個主要優點是,它不需要任何額外的網路流量,例如ICMP追蹤、路由器儲存日誌或增加封包大小。在這種方案中,每個路由器都使用IP標頭中的一個16位識別欄位,對每個轉發封包執行資訊注入事件。在這16位中,它使用5位來維護躍點計數資訊,其餘位用於路由器想要傳送給封包目的地的訊息。如果訊息太長,則會執行分片以使其尺寸更小,並使用一些位來指示分片偏移和資料分片。

然而,PPM方案的一個主要限制是,在重建路徑期間,受害者需要承擔很高的處理負擔。

確定性封包標記(DPM)

在確定性封包標記(DPM)中,每個路由器都用其唯一的識別符來標記每個外發封包。這種機制類別似於IP記錄路由選項,它在受害者端使用標記資訊來重建攻擊路徑。Savage等人計算出標記機率的最佳值為1/d,其中d是路徑的長度。

Goodrich等人的隨機化和連結方法是對機率性封包標記方案的改進,從安全性和實用性的角度來看都是如此。核心概念是,每個路由器將其訊息M分成幾個字,並將這些字與一個大的校驗和一起隨機包含在b個可重複使用的位中。雖然該方法很有效,但它浪費了b個寶貴的位。校驗和程式碼顯著降低了對手注入與合法訊息衝突的虛假訊息的能力。這種方法的主要優勢在於,即使攻擊者注入封包以減慢該方法的速度,它也可以輕鬆地識別來自數百個路由器的8分片訊息或更高的訊息。此外,這種方法不需要事先了解整個網路。

Xiang等人提出了一種DPM的最佳化版本,稱為靈活DPM(FDPM),它提供了一種防禦系統,能夠找到攻擊封包的真實來源。與鏈路測試、封包日誌記錄、ICMP追蹤、PPM和DPM相比,FDPM提供了更靈活的功能來追蹤IP封包,並提供更好的效能。在某些情況下,該方法使用IP標頭中的服務欄位來儲存標記資訊。它使用IP標頭中的兩個欄位,一個是分片ID,另一個是反向標誌。封包的傳送者為ID欄位分配一個識別值,該值有助於組裝資料報的所有分片。與DPM相比,FDPM在路徑重建期間更簡單、更靈活。FDPM在低誤判率以及重建一個源所需的封包數量、可以在一個追蹤過程中追蹤的大量源以及封包的高轉發速率方面都是有效的。

玄貓 認為,封包標記技術的演進,從PPM到DPM,再到FDPM,體現了網路安全研究人員不斷尋求更有效、更靈活的DDoS防禦方案的努力。

總而言之,DDoS攻擊防禦技術不斷發展,封包標記技術作為一種重要的溯源手段,在不斷演進中展現出其價值。理解這些技術的原理和限制,有助於網路管理員選擇和佈署最適合其網路環境的防禦方案。

玄貓解讀:DDoS 防禦技術的深度解析

DDoS(分散式阻斷服務)攻擊對網路安全構成嚴重威脅。本篇文章將探討幾種關鍵的 DDoS 防禦技術,包括 IP 追蹤和過濾技術,並分析它們的優缺點,從而幫助讀者更好地理解和應用這些技術。

IP 追蹤技術:尋找攻擊的源頭

IP 追蹤技術旨在識別 DDoS 攻擊的源頭,從而採取相應的防禦措施。以下是幾種常見的 IP 追蹤技術:

根據拓撲的封包標記(TBPM):網路拓撲資訊的嵌入

傳統的封包標記方法主要透過標記封包進入網路的邊緣路由器來追蹤攻擊源。然而,在洪水攻擊中,受攻擊節點可能無法存取邊緣路由器。針對這個問題,TBPM 方案將網路拓撲資訊嵌入到資料封包中。即使邊緣路由器不可存取,受攻擊節點也能夠利用封包的路徑資訊來減輕攻擊。

TBPM 的優點包括:

  • 空間效率:使用固定大小的標記欄位。
  • 處理效率:路由器只需提供最低限度的支援。

然而,TBPM 也存在一些限制:

  • 高誤判率
  • 需要大量的封包
  • 封包追蹤能力較低
  • 標記速率不靈活

ICMP 追蹤訊息:反擊的利器

ICMP 追蹤訊息機制透過路由器生成包含轉發封包內容和相鄰路由器資訊的 ICMP 訊息,並將其傳送到目標。當洪水攻擊發生時,受害者可以使用這些 ICMP 訊息構建攻擊圖,追溯到攻擊者。

ICMP 追蹤訊息的優點包括:

  • 網路負擔低
  • 管理成本低
  • 易於分散式佈署
  • 能夠有效地檢測洪水攻擊中的攻擊路徑

然而,ICMP 追蹤訊息也存在一些缺點:

  • 產生大量的額外網路流量
  • 容易產生偽造的 ICMP 訊息
  • 計算負擔高
  • 難以檢測多條攻擊路徑
  • 手動 IP 追蹤繁瑣且困難

封包記錄:歷史追溯的工具

封包記錄方法透過路由器儲存封包資訊,以便在攻擊完成後追蹤攻擊。可以利用資料採礦技術分析記錄的封包資料,確定封包的路徑。

封包記錄的優點包括:

  • 歷史儲存封包日誌資訊,用於未來調查
  • 易於追蹤
  • 易於分散式佈署

然而,封包記錄也存在一些缺點:

  • 需要大量的儲存空間
  • 網路負擔高
  • 管理負擔高

過濾技術:保護網路資源的屏障

過濾技術提供了一種有效的方法來保護網路資源免受 DDoS 攻擊。以下是幾種常見的過濾技術:

入口和出口過濾:雙向防禦

入口和出口過濾在 DDoS 攻擊防禦中非常有用。入口過濾規則用於過濾進入本地網路的流量,而出口過濾規則用於過濾離開本地網路的流量。

以圖 5.4 為例,ISP A 向一個機構或組織的網路(稱為葉子網路)提供網際網路存取。在葉子網路中,路由器 Rx 是邊緣路由器,連線到 ISP A 的邊緣路由器 Ry。ISP A 還有另一個邊緣路由器 Rz,透過它提供與其他網路的連線。根據入口和出口過濾的規則,如果封包的源位址與預定義的源 IP 位址範圍比對,則允許封包進入或離開網路。


### 為何ISP需要你的幫助:淺談DDoS防禦中的源地址過濾技術

在DDoS(分散式阻斷服務)攻擊日益猖獗的今天,瞭解各種防禦技術顯得至關重要。其中,源地址過濾技術作為一種基礎但有效的手段,被廣泛應用於網路安全防護中。今天,玄貓將帶領大家探討幾種常見的源地址過濾技術,分析其原理、優缺點以及在實際應用中的侷限性。

### 入口過濾與出口過濾:網路邊界的守護者

入口過濾(Ingress Filtering)和出口過濾(Egress Filtering)是兩種基本的網路邊界過濾技術。它們的主要目標是檢查透過路由器的資料封包的源IP地址,判斷其是否符合預期的地址範圍。

- **入口過濾**:在資料封包進入網路時進行檢查。例如,假設某機構的網路只允許源IP地址字首為`202.141.129.0/24`的資料封包進入。如果攻擊者嘗試使用其他源IP地址傳送資料封包,入口過濾器將會直接丟棄這些資料封包。
- **出口過濾**:在資料封包離開網路時進行檢查。與入口過濾相反,出口過濾檢查資料封包的源IP地址是否屬於本網路的合法地址範圍。

玄貓在過去的經驗中發現,要有效應用這兩種過濾技術,關鍵在於準確預測每個連線埠預期的源IP地址範圍。如果預測準確,入口和出口過濾都能夠有效地阻止惡意流量。然而,在複雜的企業網路中,由於網路拓撲複雜多變,準確預測IP地址範圍可能非常困難。錯誤的組態可能導致誤殺,將合法的流量也一併丟棄,這顯然是不可接受的。

儘管存在侷限性,入口和出口過濾仍然具有其優勢。首先,對於拓撲結構簡單的網路,實施這兩種過濾技術相對容易。其次,過濾規則不僅可以應用於源IP地址,還可以應用於連線埠號、協定型別、目標IP地址等其他屬性,從而提供更精細的過濾能力。

### 根據路由器的包過濾(RPF):進階的源地址驗證

根據路由器的包過濾(Router-Based Packet Filtering,RPF)是入口過濾的一種擴充套件,由Park和Lee提出。RPF的核心思想是:在網際網路的核心部分,對於每個鏈路,通常只有有限的一組源地址可以用於產生合法的流量。因此,如果在鏈路上檢測到任何IP包的源地址存在偏差,就可以懷疑該源地址是偽造的,並相應地過濾該包。

RPF的工作原理如下:

1.  **劃分自治域(AS)**:首先,將網際網路劃分為多個自治域(Autonomous Segments,AS)。每個AS可以代表多個網路,並由單一實體管理,例如組織、機構或公司。
2.  **邊界路由器**:邊界路由器負責使用邊界閘道器協定(BGP)在AS之間路由流量。根據使用的拓撲,每個AS(由一個16位的唯一ID標識)可以使用多個邊界路由器。
3.  **拓撲訊息**:RPF技術利用全球BGP拓撲訊息來過濾具有偽造源IP地址的流量。

舉個例子,假設有11個AS,如圖5.5所示。攻擊者R3位於AS3中,並試圖攻擊位於AS6中的目標R6。攻擊者偽造源地址,使其看起來像是來自AS7中的R7。如果過濾技術佈署在AS4中的R4上,則可以阻止來自R3的流量,前提是R4瞭解網路拓撲。

如果R4知道來自R7的流量通常不會透過R3到達R4,那麼R4就可以自信地過濾掉來自R3且聲稱來自R7的流量。

儘管RPF在DDoS防禦方面具有一定的優勢,但它也存在一些限制。現代DDoS攻擊者非常聰明,他們可能會使用精心挑選的偽造源IP地址和真實的源IP地址來發動攻擊。因此,RPF可能無法有效地防禦DDoS攻擊。此外,當使用動態網際網路路由時,RPF的效果可能會進一步降低。

### 源地址有效性強制(SAVE)協定:動態更新的防禦機制

為了應對RPF的侷限性,Li等人提出了源地址有效性強制(Source Address Validity Enforcement,SAVE)協定。SAVE協定旨在動態更新每個鏈路上預期的源IP地址訊息。與之前的技術一樣,SAVE會阻止源IP地址未包含在給定鏈路的預期源IP地址列表中的IP包。

SAVE透過傳播有效的源IP地址來頻繁更新有關所有目標的訊息,以便每個路由器都可以構建一個最新的輸入表,該表與路由器的每個鏈路相關,並可以相應地阻止任何意外的源IP地址。與入口過濾和RPF類別似,SAVE也假設路由器的每個鏈路的預期源地址空間是先驗已知的並且是穩定的。

與入口過濾和RPF相比,SAVE協定的一個主要優勢在於,它可以透過定期更新每個鏈路的輸入表來克服與網際網路路由不對稱相關的問題。然而,與之前的兩種過濾技術一樣,在DDoS攻擊的情況下,SAVE也不是完全安全的,因為最近的DDoS攻擊可能不依賴於欺騙。

### 玄貓的DDoS防禦思考:多層防護,持續進化

總結來說,源地址過濾技術在DDoS防禦中扮演著重要的角色,但它們並非萬能的。入口過濾和出口過濾適用於拓撲結構簡單的網路,而RPF和SAVE則試圖透過利用網路拓撲訊息和動態更新來提高過濾的準確性。然而,這些技術都無法有效地防禦使用真實源IP地址發起的DDoS攻擊。

因此,在實際應用中,玄貓建議採用多層防護策略,將源地址過濾技術與其他DDoS防禦技術相結合,例如流量整形、速率限制、異常檢測等,以構建更強大的防禦體系。同時,隨著DDoS攻擊技術的不斷演進,我們也需要不斷學習和探索新的防禦方法,以保持網路安全防護的領先地位。

### 為何流量控制是DDoS防禦的關鍵?從金融系統設計談起

在面對分散式阻斷服務(DDoS)攻擊時,流量控制是一種根據預先設定的防禦標準,能有效阻止惡意流量湧入的方法。它透過控制或限制符合DDoS攻擊特徵的封包抵達速率來運作,這種方案的設計目標是在最小化對合法流量的影響下,達到最佳的防禦效果。

與回推(pushback)機制不同,流量控制通常不會在防禦過程中產生額外的負擔,因此不會造成因防禦本身而導致的服務阻斷。此外,相較於其他封包過濾方案,流量控制被認為是一種較為溫和的手段。當DDoS防禦方法容易產生過多的誤判時,流量控制方案可能比傳統的封包過濾方案更有效。

一個適當的流量限制方案能夠對封包進行整形,這意味著網路上的其他來源也會被迫遵守對其轉發速率的限制。

### 入侵回應系統(IRS):自動化的DDoS防禦利器

入侵回應系統(IRS)是一種根據入侵檢測系統(IDS)警示,持續監控系統健康狀態的系統,旨在有效處理惡意或未授權的活動。它應用適當的對策來防止問題惡化,並使系統還原到健康狀態。當檢測到攻擊時,通知系統會生成警示,其中包含攻擊描述、攻擊時間、來源IP和用於攻擊的使用者帳戶等資訊。

通常,IRS會根據特定型別攻擊的發生,自動執行一組預先組態的回應動作。這種方法比IDS方法更自動化,在IDS中,管理員需要手動採取這些回應動作。與IDS不同,這裡不需要人為干預,因此入侵檢測和回應之間沒有延遲。

#### IRS的四大核心元件

一個通用的IRS包含四個基本元件:

1.  **檢測元件**:負責檢測異常或惡意行為。
2.  **回應元件**:使用預定義的方法自動回應任何入侵。
3.  **監控元件**:持續監控系統的健康狀態。
4.  **管理系統**:協調和管理整個IRS的運作。

與IDS和IPS不同,IRS的回應元件包括一個回應系統,該系統使用預定義的方法自動回應任何入侵。

### 入侵回應(IR)及其型別

入侵回應可以根據生成方法分為多種型別。根據從IDS收到的警示,IR可以手動、半自動或自動生成。但在所有這些IR生成型別中,人類分析師或系統管理員都扮演著直接或間接的角色。特別是在手動和半自動IR生成的情況下,人為因素的介入是不可或缺的。

### 玄貓對DDoS防禦的洞察

玄貓認為,在設計DDoS防禦策略時,流量控制和入侵回應系統是不可或缺的組成部分。流量控制能夠在不影響合法流量的前提下,有效限制惡意流量的湧入;而入侵回應系統則能夠在檢測到攻擊時,自動採取相應的措施,最大程度地減少損失。

在實際應用中,玄貓建議將流量控制和入侵回應系統結合使用,以達到最佳的防禦效果。例如,可以使用流量控制來限制特定IP地址的流量,同時使用入侵回應系統來監控系統的健康狀態,並在檢測到異常行為時,自動採取相應的措施。

此外,玄貓也強調,DDoS防禦是一個持續不斷的過程,需要不斷地監控、分析和調整防禦策略,才能有效地應對不斷變化的攻擊手段。

身為玄貓(BlackCat),我將根據提供的檔案,以台灣頂尖技術專家的角度,重新創作關於入侵回應系統(Intrusion Response System, IRS)的內容。
玄貓

玄貓

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。