Rheinisch-Westfalische Technische Hochschule AachenLehrstuhl fur Informatik IVProf. Dr. rer. nat. Otto Spaniol

IP-Traceback

Seminar: Datenkommunikation / VerteilteSysteme

Sommersemester 2002

Askin KirmiziMatrikelnummer: 209682

Betreuung: Ralf WienzekLehrstuhl fur Informatik IV, RWTH Aachen

Inhaltsverzeichnis

1 Einleitung 3

2 Grundlagen 4

2.1 Internet Protokoll (IP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

2.2 Transmission Control Protokoll (TCP) . . . . . . . . . . . . . . . . . . . . . . . . . 5

2.3 User Datagram Protokol (UDP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

3 Angriffe 6

4 IP-Traceback-Ansatze 8

4.1 Router Stamping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

4.2 Ingress Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

4.3 Link Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

4.4 Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

4.5 ICMP Traceback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

4.6 Fragment Marking Scheme (FMS) . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

4.7 Advanced Marking Scheme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

5 Zusammenfassung 19

2

1 Einleitung

Der Einsatzbereich des Computers und des Internets ist sehr vielseitig, sodass sie in der heutigenZeit nicht mehr wegzudenken sind. Durch die kommerzielle Nutzung des Internets ist die standi-ge Verfugbarkeit von Diensten wichtig. Denial-of-Service (DoS) Angriffe, deren primares Ziel eineGefahrdung der Verfugbarkeit ist, stellen daher ein ernst zu nehmendes Problem dar.

In den neunziger Jahren setzte sich das Internet Protokoll (IP) als Standardprotokoll durch und gewannimmer mehr an Bedeutung. Obwohl sich IP seit seiner Einfuhrung gut bewahrt und andere Protokollewie SNA, IPX oder Appletalk verdrangt hat, besitzt es eine Reihe von Mangeln, wie z. B der zu kleineAdressraum und das Fehlen praktikabler Verschlusselungs- und Authentifizierungsmechanismen [5].

Durch die Einfuhrung der neuen IP-Version (IPv6) konnte ein Teil der Probleme zwar gelost werden,doch wird in fast allen heute verwendeten Datennetzen das altere IPv4 verwendet. Teilweise konntendurch Hersteller von Routern und Firewallsystemen die Sicherheitslucken geschlossen werden, aller-dings besteht noch eine Vielzahl von Problemen. Neben den systemimmanenten Problemen liegt dieUrsache eines Großteils von Einbruchen in der fehlerhaften Konfiguration von Computersystemen,Routern und Firewalls wie z.B. luckenhafte Portfilterkonfigurationen oder aktive ICMP-Optionen. Eingroßes Problem von IP ist die Moglichkeit des Verfalschens der Absenderadresse. Da diese Tatsachebei einem Denial-of-Service-Angriff haufig ausgenutzt wird, um die Quelle des Angriffs zu verschlei-ern, ist es umso schwieriger Gegenmaßnahmen zu ergreifen. Um den Angreifer aber zu identifizierenund den Angriff zu unterbinden, genugt es daher nicht, sich auf die in den Paketen eingetragenenAbsenderadressen zu verlassen, sondern die Pakete mussen zu ihrer wahren Quelle zuruckverfolgtwerden. Im Falle einer Distributed-Denial-of-Service-Attacke (DDoS-Attacke), bei der im Gegensatzzu einer einfachen DoS-Attacke der Angriff nicht nur uber einen Angriffsrechner ausgefuhrt wird,sondern gleichzeitig im Verbund mit mehreren Rechnern, ist das effiziente Unterbinden des Angriffsnoch schwieriger, da jede einzelne Quelle ermittelt werden muss. Das Problem des Zuruckverfolgensvon Paketen mit (potenziell) gefalschten Absenderadressen wird das Traceback-Problem genannt. Dadie meisten Angreifer sehr vorsichtig sind und keine Spuren hinterlassen wollen, ist es haufig schwie-rig, den Angreifer zu lokalisieren. Das Ziel besteht darin, den Angreifer zu finden und den Angriffmoglichst schnell und so nah am Angreifer wie moglich zu unterbinden.

3

2 Grundlagen

Abbildung 1: IP-Header

In diesem Abschnitt sollen die fur DoS-Angriffe im Internet relevanten Protokolle dargestellt underlautert werden [10] .

2.1 Internet Protokoll (IP)

IP-Pakete (Datagramme) bestehen aus einem Header- (Kopf) und einem Textteil. Der Header hateinen festen, 20 Byte großen und einen optionalen Teil mit variabler Lange (siehe Abbildung 1).

� Das Version-Feld enthalt die Version des IP-Protokolls, zu dem das Datagramm gehort (derzeit4 oder 6).

� Da die Header-Lange nicht konstant ist, wird das Length-Feld bereitgestellt. In diesem Feldwird die Header-Lange in 32-Bit-Worten angegeben. Der Mindestwert ist funf, fur den Fall,dass keine Optionen vorhanden sind. Der Hochstwert dieses 4-Bit-Feldes ist 15, was dazu fuhrt,dass der Header auf 60 Byte und das Options-Feld somit auf 40 Byte begrenzt sind.

� Anhand des Feldes Type of Service (TOS) kann der Host bekannt geben, welcher Dienst ge-wunscht wird.

� Total Length beinhaltet die Lange des gesamten Pakets, also Header und Daten (maximal 65.535Byte).

4

� Das Identification-Feld ist erforderlich, um im Falle einer Fragmentierung feststellen zu konnen,zu welchem Datagramm ein neu ankommendes Fragment gehort. Alle Fragmente eines frag-mentierten Dataqgramms erhalten den gleichen Identification-Wert.

� Danach folgt ein unbenutztes Bit und zwei 1-Bit-Felder Don´t Fragment (DF) und More Frag-ments (MF). Ein Datenpaket mit gesetztem DF-Bit darf nicht fragmentiert werden, da es sonstvom Ziel nicht zusammengesetzt werden kann. Ist das MF-Bit gesetzt, kommen noch weitereDatenpakete mit Fragmenten desselben IP-Pakets.

� Das Fragment Offset-Feld dient zum Zusammensetzen des Gesamtpakets aus IP-Fragmenten.Der Fragment Offset multipliziert mit 8 ergibt die Position der Daten relativ zum Beginn desDatenpakets.

� Das Time to Live (TTL) Feld gibt die Lebensdauer des Pakets in Sekunden an (maximal 255).Sie wird von jedem System, welches das Paket bearbeitet, um die Zeit verringert, die zur Be-arbeitung benotigt wurde. Wenn das TTL-Feld den Wert 0 erreicht hat, wird das Datenpaketverworfen.

� Das Protocol-Feld gibt an, welches Protokoll im Daten-Teil des IP-Pakets transportiert wird.TCP, UDP und ICMP sind die ublichsten Protokolle.

� Die Header Checksum dient zur Fehlererkennung im IP-Header. Jeder Router muss die Check-summe neu berechnen, da er das TTL-Feld andern muss.

� Die Felder Source-Address und Destination-Address beinhalten die Adresse des Senders undEmpfangers.

� Uber das Options-Feld werden einige Sonderfunktionen wie Source-Routing und Timestam-ping realisiert. Das Options-Feld hat keine feste Lange, sodass auch der IP-Header als ganzeskeine feste Lange hat.

� Da das Options-Feld keine feste Lange hat, die Lange des IP-Headers aber immer ein Vielfachesvon 32 Bit sein muss, dient das Padding dazu, bei Bedarf auf eine korrekte Lange aufzufullen.

2.2 Transmission Control Protokoll (TCP)

TCP ist ein zuverlassiges und verbindungsorientiertes Protokoll, das einen Bytestrom fehlerfrei voneiner Maschine zu einer anderen ubertragt. Am Ziel werden diese Nachrichten wieder zu einem Aus-gabestrom zusammengesetzt. Bevor Daten ausgetauscht werden konnen, muss zunachst eine Verbin-dung zwischen den Kommunikationspartnern aufgebaut werden. Die geschieht in der Regel durchden so genannten 3-Way-Handshake (siehe Abbildung 2):

1. Ein Client sendet ein SYN-Paket an den Server, um zu signalisieren, dass eine Verbindungaufgebaut werden soll.

5

2. Der Server antwortet mit einem SYN/ACK-Paket, das einerseits den Wunsch des Clients bestatigtund andererseits die Verbindung in Gegenrichtung aufbauen soll.

3. Der Client bestatigt mit einem ACK-Paket. Damit ist eine bidirektionale Verbindung zwischendem Client und dem Server aufgebaut und es kann mit der eigentlichen Datenubertragung be-gonnen werden.

Abbildung 2: 3-Way-Handshake

2.3 User Datagram Protokol (UDP)

UDP ist im Gegensatz zu TCP ein unzuverlassiges und verbindungsloses Protokoll, das vorwiegendfur einmalige Abfragen und Anwendungen in Client/Server-Umgebungen benutzt wird. Bei diesemProtokolltyp ist die Schnelligkeit wichtiger als die fehlerfreie Ubertragung. Es wird beispielsweisefur die Ubertragung von Video und Sprache eingesetzt. UDP bietet neben einer Erweiterung derAdressierung und einer Prufsumme fur die Daten keine weiteren Dienste im Vergleich zu IP.

3 Angriffe

In Kommunikationsnetzen gibt es eine Vielzahl von moglichen Angriffen. Diese lassen sich jedochin drei Kategorien einteilen [6]:

6

� Angriffe gegen die Vertraulichkeit, d.h. ein Angreifer versucht, Informationen einzusehen, furdie er nicht autorisiert ist, indem er beispielsweise eine falsche Identitat vortauscht.

� Angriffe gegen die Integritat, d.h. der Angreifer versucht, unbemerkt fremde Daten zu manipu-lieren

� Angriffe gegen die Verfugbarkeit, d.h. der Angreifer versucht, autorisierten Nutzern am in An-spruch nehmen von Diensten zu hindern.

Denial-of-Service bedeutet etwas unzuganglich zu machen, oder außer Betrieb setzen. Daher sindDoS-Angriffe im Allgemeinen Angriffe gegen die Verfugbarkeit. Diese Angriffe nutzen Bugs undSchwachstellen von Programmen, Betriebssystemen oder Fehlimplementationen von Protokollen aus.

Abbildung 3: SYN-Flood: Der Angreifer uberschwemmt das Opfer mit Verbindungsanfragen.

Man unterscheidet bei DoS-Attacken zwischen zwei Arten: Angriffe gegen einen Host und Angriffegegen ein Netzwerk.

Bei dem Angriff auf einen Host wird versucht, begrenzte Ressourcen zu belegen, sodass das Opfer zurErbringung eines Dienstes nicht mehr genugend Ressourcen zur Verfugung stehen hat. Als Beispieleines solchen Angriffs soll hier SYN-Flood [7] genannt werden. Hierbei wird die Tatsache ausge-nutzt, dass zur Verwaltung einer TCP-Verbindung Speicher reserviert werden muss. Es werden einegroße Anzahl so genannter halboffener Verbindungen auf dem Server erzeugt, d.h. Verbindungen,bei denen der Server auf das dritte Paket des 3-Way-Handshake wartet. Hierzu sendet der Angrei-fer ein SYN-Paket an den Server und veranlasst einen 3-Way-Handshake. Der Server bestatigt miteinem SYN-ACK und wartet auf das ACK des Clients. Der Angreifer aber schickt das erwarteteteACK nicht, sondern schickt weitere Anfragen und belegt somit genugend Speicher, sodass der Dienst

7

nicht genutzt werden kann. Der Angreifer uberschwemmt sozusagen das Opfer mit Verbindungsan-fragen. Ist die Zahl der Anfragen hoch genug, nimmt der Server keine neuen Anfragen mehr an (sieheAbbildung 3).

Die zweite Art von DoS-Angriffe richtet sich gegen Netzwerke. Das Ziel dieser Angriffe bestehtdarin, das Netzwerk mit zusatzlichem Verkehr so zu uberlasten, dass ”normaler“ Verkehr blockiertwird. Beispiele fur diese Art von Angriffen sind Smurf-Angriffe und UDP-Floods.

Beim Smurf -Angriff sendet der Angreifer ein gefalschtes ICMP-Echo-Request mit der Absender-adresse des Opfers an eine IP Broadcast1-Adresse. Somit werden die beteiligten Rechner in demNetzwerk auf die in dem Paket angegebene Adresse mit Echo-Replies antworten. Bei einer großenAnzahl an Rechnern im Netzwerk wird das Opfer mit Antworten uberhauft.

Auch bei UDP-Flood wird eine gefalschte IP-Adresse verwendet, wobei hierbei veranlasst wird, dasszwei Systeme dauerhaft Daten austauschen und somit die Netzwerklast erhohen. Erreicht wird diesz.B. durch das Verbinden des Chargen-Dienstes eines Systems mit dem Echo-Dienst eines zweitenSystems. Der Chargen-Dienst generiert fur jedes Paket, das empfangen wird, Daten und schickt diesean den Absender. Am Echo-Dienst angelangt, werden die Pakete an den Sender zuruck geschickt,wodurch ein potenziell unendlicher Datenaustausch entsteht. Der Angreifer initiiert dieses Verhaltenz.B. dadurch, dass er ein Paket mit der gefalschten Absenderadresse eines Echo-Dienstes an einenChargen-Dienst sendet.

4 IP-Traceback-Ansatze

Dieses Kapitel beschreibt verschiedene Ansatze, die Quelle eines Denial-of-Service-Angriffes zu er-mitteln, um den Angriff wirkungsvoll unterbinden zu konnen. Einige der Verfahren definieren hierzuneue Arten von Kontrollnachrichten, wahrend andere versuchen, Informationen uber den Pfad desPakets in dem Paket selbst zu speichern, indem z.B. Teile des IP-Headers uberschrieben werden.

4.1 Router Stamping

Router Stamping ist nach [3] eine einfache und effektive Methode, um festzustellen, ob eine IP-Adresse manipuliert wurde. Es ist jedoch kein eigenstandiges Verfahren, das einen DoS-Angriffzuruckverfolgen kann.

Der erste Ansatz ist Deterministic Router Stamping. Fur ein ankommendes Paket schreibt jeder Rou-ter die IP-Adresse seines Vorgangers in das Options-Feld des Pakets. In Abbildung 4 ist eine mogli-che Topologie dargestellt. Hierbei tragt

���die IP-Adresse von � im erst moglichen Speicherbereich

(Slots) und schickt das Paket weiter an���

.���

tragt die IP-Adresse von���

in den zweiten Slot einund schickt das Paket nach

��, welcher wiederum die IP-Adresse von

� �eintragt und es an weiter-

schickt.1gleichzeitiges senden von Paketen an alle Systeme eines Netzes, heißt Broadcasting

8

Abbildung 4: Deterministic Router Stamping

Der Algorithmus fur Deterministic Router Stamping am Router���

sieht wie folgt aus:

fuer jedes ankommende Paket Ptrage in den naechstmoeglichen Slot die IP-Adresse des

vorherigen Routers ein.schicke das Paket weiter

In der Regel durchlauft ein Paket maximal 30 Router, bis es am Ziel angekommen ist. Wurde mandiesen Ansatz realisieren, musste man den IP Header, um das Vierfache vergroßern, um alle IP-Adressen eintragen zu konnen. Auch wenn soviel Speicher zur Verfugung stehen wurde, konnte einAngreifer alle Eintrage selbst generieren.

Abbildung 5: Router Stamping

Das Verfahren wird daher zum so genannten Router Stamping erweitert. Hierzu sei � die Anzahl zurVerfugung stehender Slots und ���� ��� � ��� � . ��� sei die Wahrscheinlichkeit, dass ein Router einankommendes Paket stempelt, d.h. ist die Wahrscheinlichkeit fur das Stempeln eines bestimmtenSlots. Ein Router zieht fur jedes Paket eine Zufallszahl ����� ��� � � und stempelt das Paket im Slot���� ��� � , falls �"!#�$�% gilt.

9

fuer jedes bei R_i ankommende Paketx <- Zufallszahl zwischen 0 und 1falls x < sp

platziere Eintrag in Slot bschicke Paket weiter

Ein Beispiel von Router Stamping wird in Abbildung 5 dargestellt. Wiederum werden Pakete von �nach , uber die Router

� �bis��

gesendet. Fur Paket 1 schreibt� �

in Slot 1, dass es uber Kanal 0gekommen ist,

���entscheidet sich nicht zu schreiben und

� �schreibt in Slot 0, dass es uber Kanal

0 gekommen ist. Paket 2 benutzt zwar dieselbe Route, nur dass jetzt sowohl���

in Slot 0 schreibtals auch

��, d.h.

��uberschreibt den Wert von

� �. Ein drittes Paket geht durch

��&, bekommt aber

vorerst einen Eintrag von� �

in Slot 0 und von��

in Slot 1. Der Algorithmus fur Router Stampingsieht folgendermaßen aus:

Fur das Implementieren von Router Stamping ist es erforderlich, den IP-Header zu erweitern. Die-ses bewirkt aber, dass fur das Versenden der gleichen Anzahl an Paketen, mehr Zeit in Anspruchgenommen wird. Gemaß [3] wurde dies bei einem Paket von 1500 Bytes, fur das 40 Bytes mehrin Anspruch genommen werden, einen zusatzlichen Ubertragungsaufwand von 2,7 Prozent betragen.Der Autor schlagt fur eine erfolgreiche Abwehr gegen DoS-Angriffe weiter entwickelte Tools vor, diemit Router Stamping kombiniert werden sollten. Router Stamping ist ein reaktives Verfahren, d.h. eskommt erst dann zum Einsatz, nachdem der Angriff angefangen hat. Fur Systemadministratoren istes bei Anwendung dieses Verfahrens notwendig, eine Karte anzulegen, welche die Platzierungen dereinzelnen Router deutlich macht. Fur kleinere Netzwerke kann OSPF [5] benutzt werden. Falls dieAngaben aber nicht ausreichend sind, muss die Karte z.B. mittels traceroute [4] vom Systemadminis-trator erweitert werden.

Zur Identifizierung der Angriffsquelle kann beispielsweise der Simple Source Identification Algorith-mus verwendet werden. Die Idee dieses Algorithmus ist, die wahrscheinlichen Quellen des Angriffsdurch das Prufen der empfangenen IP-Header festzustellen. Dabei wird nach Routern gesucht, die imGegensatz zu ihren direkten Nachbarn sehr wenige Pakete gestempelt haben.

fuer jeden Router R_ix<- Anzahl der Pakete mit Stempel R_i´sy<- 0Fuer jeden Nachbarn R_j von R_i

y<- y + Anzahl der Router, die von R_i nach R_jgehen und von R_j gestempelt wurden

Falls y>>xR_i ist wahrscheinlich die Quelle des Angriffs

Ein Beispiel gegen einen SYN-Angriff wurde wie folgt aussehen: Sei das Netzwerk wie in Abbil-dung 5 gegeben und sei das Opfer. Es werden eine hohe Anzahl an SYN-Anfragen gestellt, sodassz.B. 1000 Verbindungen zustande kommen. Die Analyse der IP-Header der Pakete zeigt dann, dass

10

��von 260 gestempelten Paketen 160 von

� �und 100 von

��&erhalten hat. Des Weiteren sind 130

Pakete, die von� �

erhalten wurden, von� �

gestempelt und 95 Pakete von��&

. Zusatzlich wurden200 Pakete, die von � kamen von

���gestempelt. Durch Anwenden es Simple Source Identification

Algorithmus, wird der Systemadministrator darauf schließen, dass� �

genauso viele Pakete stempeltewie

���und

� &zusammen. Die Bedingung ')(*� trifft daher nicht ein, also kann davon ausgegangen

werden, dass die Quelle weiter vorne liegt. � hat keine Pakete gestempelt, der Nachbar� �

hat aber200 Pakete, die er von � erhalten hat, gestempelt + ,-�-�.(/�10 . Daraus kann wiederum durch Anwen-den des Simple Source Identification Algorithmus gefolgert werden, dass � wahrscheinlich Teil desAngriffs ist. Durch diese Erkenntnis konnten dann Filter naher an den Angreifer angebracht werden,wodurch weniger Pakete von unbeteiligten Routern gefiltert werden. Router Stamping kann nach [3]nicht fur jedes Paket den Absender identifizieren, es bietet nur einen Weg mogliche Router zu finden,die eventuell fur Angriffe benutzt werden.

4.2 Ingress Filtering

Ingress Filtering [7] versucht, das Versenden von Paketen mit gefalschter Absenderadresse moglichstfruhzeitig zu unterbinden. Hierbei werden Router so konfiguriert, dass unzulassige IP-Adressen nichtpassieren konnen. Eine unzulassige Absender-Adresse ware in diesem Fall eine IP-Adresse, die nichtzum jeweiligen Betreiber gehort bzw. nicht hinter dem Router liegen kann. Hiermit konnen, die durchDoS-Atacken entstehenden Probleme zwar nicht vollstandig gelost werden, jedoch wird das Verber-gen des Angreifers erschwert. Ein Beispiel dazu ist z.B., dass IP-Adressen, die nicht in den Zustandig-keitsbereich eines Providers fallen, an dem Router gefiltert werden, sodass kein Rechner aus diesemNetzwerk eine IP-Adresse vortauschen kann, die in diesem Netzwerk nicht vergeben ist. In dem Bei-spiel in Abbildung 6 wird beispielsweise die IP-Adresse 137.226.123.7 von dem Router gefiltert, danur IP-Adressen, die mit 137.226.12 anfangen, passieren konnen.

Abbildung 6: Provider filtert am Router zum Internet

11

4.3 Link Testing

Beim Link Testing wird die Suche nach dem Ursprung des Angriffs an dem Router angesetzt, der demOpfer am nachsten ist. Bei diesem Verfahren wird untersucht, auf welchem Link die Pakete eintref-fen, damit der vorherige Router ermittelt werden kann. Diese Methode wird dann fur alle beteiligtenRouter wiederholt und im Idealfall gelangt man bis zur Quelle. Damit diese Methode erfolgreich ist,muss der Angriff lange genug dauern und die Route aller Pakete muss gleich sein.

In [7] werden mit Input Debugging und Controlled Flooding zwei Varianten von Link Testing be-schrieben.

1. Input Debugging ist eine Methode, die in vielen Routern implementiert ist. Das Opfer musszunachst erkennen, dass es angegriffen wird. Es wird dann automatisch eine Angriffssignaturerstellt, die das Opfer an seinen Netzwerkbetreiber schickt. Dort pruft der Netzwerkbetreiberauf dem Egress-Port (Ausgangsport), die ihm ubermittelte Signatur. Sobald diese verifiziertist, wird nach dem zugehorigen Ingress-Port (Eingangsport) gesucht und der nachste Router,der den Angriff ubertragt, wird ermittelt. Dies wird rekursiv weitergefuhrt, bis der Angreiferlokalisiert oder der Zustandigkeitsbereich uberschritten wird. Falls der Bereich des ersten Pro-viders uberschritten wird, muss dieser einen weiteren kontaktieren usw., womit der Aufwandwachst. Wenn dabei verschiedene Lander oder gar Kontinente uberbruckt werden mussen, wirddie Verfolgung schwieriger und kostenspieliger.

2. Controlled Flooding kommt ohne jegliche Hilfe von Netzwerkbetreibern aus, doch wird dieKenntnis der Netzwerktopologie benotigt. Die Idee bei diesem Verfahren ist es, dass das Op-fer einzelne Links in Richtung Angreifer ebenfalls mit Paketen flutet, um zu prufen, ob eszu Veranderungen des Angriffsstroms kommt. Falls es zu keiner Veranderung kommt, flutet eseinen anderen Link. Ist ein Link gefunden, bei dem die Rate der ankommenden Angriffs-Paketevermindert wurde, so wird dieser Pfad weiterverfolgt, indem weitere Links geflutet werden bisim Idealfall der Angreifer erreicht ist. Das Fluten geschieht mit Hilfe von (fremden) Rechnern,die beispielsweise den Chargen-Dienst anbieten. Allerdings ist das Controlled Flooding selbsteine Art DoS-Angriff, dessen Anwendung gut bedacht werden sollte [7].

4.4 Logging

Ein weiterer Ansatz ist das Logging, der sich von den vorherigen Ansatzen u.a. dadurch unterscheidet,dass er auch lange nachdem der Angriff geendet hat, angewandt werden kann. Die Idee besteht darin,Pakete bzw. deren Header an allen Border-Routern2 zu speichern. Anhand von Datenanalysetechnikenlasst sich dann der Pfad, den die Pakete durch das Netz genommen haben, genau bestimmen. DieRessourcenanforderung fur dieses Verfahren ist jedoch sehr hoch, da bei DoS-Angriffen i.d.R. einegroße Menge von Daten anfallen.

2Verbindung zwischen Netzen

12

4.5 ICMP Traceback

Das ICMP-Protokoll dient u.a. dazu, dem in einem Fehlerfall betroffenen Absender von IP-Paketen,das Auftreten von Netzwerkproblemen zu melden. Der Absender hat dann die Aufgabe, entspre-chende Maßnahmen zu ergreifen. Allerdings werten Router oder Hosts solche Nachrichten haufigautomatisch aus und fuhren entsprechende Rekonfigurationen durch.

ICMP Traceback [1] ist ein automatisierter Ansatz, eine Losung fur das Traceback Problem zu finden.Eine neue ICMP Nachricht wird eingefuhrt, die mit Wahrscheinlichkeit � � ��, ���-��� fur jedes Paket,an den Empfanger gesendet wird. Falls hinreichend viele ICMP-Messages von verschiedenen Routernin Pfadrichtung versendet werden, kann der Angriffspfad rekonstruiert werden.

4.6 Fragment Marking Scheme (FMS)

Dieser Ansatz beschreibt ein Verfahren, das Pfadinformationen in die Datenpakete hineincodiert. Da-zu wird in den Routern eine Markierungsfunktion benotigt, um die Informationen in die Pakete zuschreiben. Das Opfer dagegen benotigt eine Pfad-Rekonstruktionsfunktion, um die Informationenauswerten zu konnen. Um die Idee zu vermitteln, wird zunachst der einfachste Ansatz Node appenderlautert.

Hierbei hangt jeder beteiligte Router seine IP-Adresse an jedes ankommende Datenpaket. Somit kanndas Opfer beim Empfang der Pakete, die genaue Route zuruckverfolgen. Dieses Vorgehen ist nach [7]unangebracht, da die Entfernung (Anzahl der Hops) des Ziels im Voraus nicht bekannt ist und somitauch die erforderliche Lange in Datenpaketen unbekannt ist. Dieses Problem ware auch nicht gelost,wenn mehr Speicher reserviert werden wurde (fur maximal 255 Hops bei IPv4), denn der Angreiferkonnte diese mit gefalschten Adressen fullen.

Edge Sampling ist eine Erweiterung dieses Ansatzes. Es werden zwei statische Adress-Felder, dasStart- und End-Feld, und ein Distance-Feld (Entfernung zum Opfer) benotigt. Jeder Router entschei-det mit Wahrscheinlichkeit , ob er markiert oder nicht. Falls ein Router markiert, schreibt er sei-ne IP-Adresse in das Start-Feld und eine Null in das Distance-Feld. Wenn aber das Distance-Feldschon ein Vorganger-Router markiert hat, fugt der nachste Router seine IP-Adresse in das End-Feldein, wodurch eine Kanteninformation entsteht. Ein Router, der nicht markiert, erhoht den Eintragim Distance-Feld um Eins. Das Distance-Feld im Paket gibt somit an, wie viele Hops (Anzahl derRouter) uberquert wurden.

Markierungsprozedur bei jedem Router R:

fuer jedes Paket wx <- Zufallszahl aus dem Bereich [0..1)falls x < p dann

w.start <- Rw.distance <- 0

13

sonstfalls w.distance=0 dann

w.end <- Rerhoehe w.distance

Weiterhin werden drei Techniken verwendet, um den benotigten Speicherplatz fur die Beschreibungdes Pfades zu reduzieren.

Es werden die zu einer Kanteninformation gehorigen IP-Adressen durch XOR verknupft, wodurchnur halb soviel Speicherplatz benotigt wird. Ein Router, der markiert, schreibt seine IP-Adresse a indas Paket. Der nachste Router b sieht, dass das Distance-Feld den Eintrag 0 beinhaltet, liest a aus undverknupft ihn mit der eigenen IP-Adresse durch XOR und schreibt das Resultat 2)3 � in das Paket.Das Resultat von XOR zwischen zwei benachbarten IP-Adressen wird Edge-Id genannt. Die Edge-Id,die beim Opfer ankommt, beinhaltet das XOR-Ergebnis von zwei benachbarten Routern. Nach einergewissen Zeit kommen beim Opfer Pakete mit folgenden Edge-Ids an: 4 , 5�364 , � 365 und 273 � .Angefangen beim nachsten Router, wird 4�38+ 593#410 � 5 berechnet und somit der vorletzte Routerc ermittelt. Diese Berechnung wird dann Router fur Router weiter ausgefuhrt, bis man beim erstenRouter angekommen ist (Abbildung 7).

Abbildung 7: XOR- Kodierung

Die zweite Technik ist das Aufteilen der Edge-Id in k nicht uberlappende Bereiche. Falls ein Routeralso markieren will, wahlt er zufallig einen dieser k Teile und schreibt ihn in das Paket. Zusatzlich zudieser Information muss noch ubertragen werden, welcher Teil in das Paket geschrieben wurde. Derdadurch entstehende zusatzliche Speicherbedarf ist + : ; < � = 0 . Durch den Empfang genugend vieler Pa-kete ist das Opfer in der Lage, die vollstandige Information zu rekonstruieren. Da Edge-Id Fragmenteim Gegensatz zu IP-Adressen nicht eindeutig sind, kann es nicht ausgeschlossen werden, dass Wertevon verschiedenen Edge-Id´s gleich sind. Weiterhin konnten auch gleiche Edge-Id´s ankommen, fallses mehrere Angreifer gibt.

14

Aus diesem Grund wird die Technik weiter verbessert, indem ein Hash-Wert der IP-Adresse gebildetwird. Dieser wird dann zusammen mit der IP-Adresse ubertragen. Um die Moglichkeit auszuschlie-ßen, dass eine falsche Edge-Id gebildet wird, wird die IP-Adresse zusammen mit dem Hash-Wert zudem so genannten BitInterleave zusammengesetzt. D.h. die Bits der IP-Adresse werden an geradenund die Bits des Hash-Wertes an ungeraden Stellen geschrieben, sodass BitInterleave einen Speichervon 64 Bit benotigt (siehe Abbildung 8). BitInterleave wird in k nicht uberlappende Fragmente auf-geteilt und jeder Router, der markiert, nimmt zufallig eines der k Fragmente und das Offset (Positiondes Fragments) und schreibt diese mit dem Distance-Wert in das Paket.

Abbildung 8: IP-Adresse und Hash-Wert werden zum BitInterleave zusammengesetzt und in k Frag-mente aufgeteilt

Das Fragment Marking Scheme (FMS) kombiniert diese drei Techniken zu folgendem Markierungs-Algorithmus:

R´ <- BitInterleave(R,Hash(R))k <- Anzahl der nicht ueberlappenden Fragmente in R´fuer jedes Paket Px <- Zufallszahl aus dem Bereich [0..1)falls x < p dann

o <- Zufallszahl aus dem Bereich [0..k-1]f <- Fragment von R´, das an der Stelle o stehtP.frag <- fP.distance <- 0P.offset <- o

sonstfalls w.distance=0 dann

f <- Fragment von R´, das an der Stelle P.offset stehtP.frag <- f XOR w.frag

P.distance <- P.distance+1

Bevor das oben beschriebene Verfahren zur Rekonstruktion des Pfades (Abbildung 7) angewendetwerden kann, mussen zunachst die Pfadinformationen aus den ankommenden Fragmenten zusam-mengesetzt werden. Dies geschieht durch Ausprobieren samtlicher Moglichkeiten,

=Fragmente der

15

Abbildung 9: Test von k Fragmenten

gleichen Distanz so zu kombinieren, dass eine Adresse extrahiert werden kann (Abbildung 9. Fur einedetaillierte Beschreibung des Algorithmus sei auf [7].

4.7 Advanced Marking Scheme

Abbildung 10: Beispiel eines Angriffspfades

Abbildung 10 zeigt einen gerichteten azyklischen Graphen (directed acyclic graph, DAG) mit dessenHilfe man die Angriffspfade graphisch darstellen kann. Der Graph zeigt einen verteilten Angriff, beidem > � und > & beteiligt sind und ? das Opfer darstellt.

� �stellen Router dar. Alle > � im Graphen

16

seien potenzielle Angreifer. Die Angriffspfade der > � werden als geordnete Listen von Routern zwi-schen > � und ? dargestellt. Die gestrichelten Linien beispielsweise stellen beide Angriffspfade darund werden mit + ��@ � � & � ��� � ��� 0 und + ��A � � � � ��� � ��� 0 beschrieben. Die Entfernung zwischen

��und

? in dem Graphen ist die Anzahl der Router zwischen���

und ? . Z.B ist die Entfernung im Graphenvon

��@und ? 3, da der Pfad + ��@ � � & � ��� � ��� 0 die Lange 3 besitzt. Ein Router wird False Negative

genannt, falls er im tatsachlichen Pfad liegt, aber nicht im rekonstruierten Pfad.

Mit dem Advanced Marking Scheme (AMS) I [8] wird ein weiterer Ansatz, einen IP-Traceback aus-zufuhren, vorgeschlagen. Der Autor bezieht sich dabei auf das von Savage [7] beschriebene FragmentMarking Scheme (FMS) (siehe Anschnitt 4.6) und zeigt, dass das FMS, bei der Zuruckverfolgung,einen hohen Rechenaufwand fur das Opfer hat. Dabei soll nach Aussagen des Autors bei einer An-zahl von nur 25 Angreifern der Rechenaufwand fur die Pfadrekonstruktion auf mehrere Tage anstei-gen und die Anzahl der False Positives3 Tausend ubersteigen. Weiterhin wird das Problem genannt,dass fur die Beschreibung der Pfadinformation (Start-, End- und Distance-Feld) nur 16 Bit des IP-Identifikationsfeldes zur Verfugung stehen. In [7] wird vorgeschlagen, dass das IP-Adresspaar in 8gleich große 8 Bit Fragmente aufgeteilt wird und fur das Markieren nur eine der 8 Teile zufalligverwendet wird. Dieses Konzept funktioniert nach [8] bei einem einzelnen Angreifer gut, bei einemverteilten DoS (Distributed DoS, DDoS) Angriff entstehen jedoch Probleme, da eine große Anzahlvon Vergleichen der IP-Fragmente bewaltigt werden muss und die Zahl der False Positives stark an-steigt.

Fur AMS I wird im weiteren Verlauf vorausgesetzt, dass das Opfer die Netzwerktopologie (DAG)kennt. Es werden zwei 11 Bit große, unabhangige Hashwerte B und BDC verwendet. Das Markieren istahnlich zum FMS-Verfahren mit dem Unterschied, dass hierbei die Hashwerte mit XOR verknupft indas Edge-Feld notiert werden (Abbildung 11). Das Edge-Feld beinhaltet auf diese Weise die Informa-tionen von zwei aufeinanderfolgenden Routern. Der Grund fur zwei unabhangige Hashwerte B undBEC ist, dass zwei Router im XOR-Ergebnis unterschieden werden mussen.

Markierungsprozedur beim Router��

:

fuer jedes Paket Px <- Zufallszahl im Bereich von [0..1)falls u<=q dann

P.distance <- 0P.edge <- h(R_i)

sonstfalls P.distance=0 dann

P.edge <- P.edge XOR h´(R_i)P.distance <- P.distance+1

In Abbildung 11 ist zu sehen, dass die 16 Bits, die im IP-Header das Identification-Feld reprasentieren,in zwei Teile aufgeteilt sind: 5 Bits fur das Distance-Feld und 11 Bits fur die Kanteninformation

3Ein Router wird False Positive genannt, wenn dieser im rekonstruierten Angriffspfad vorkommt, in der tatsachlichenAngriffsroute aber nicht zu finden ist.

17

(Edge-Id). Dabei konnen mit 5 Bits, 32 Hops beschrieben werden, was fur die meisten Internetpfadeausreichend ist.

Abbildung 11: Advanced Marking Scheme 1

Beim Rekonstruieren nutzt das Opfer die Netzwerktopologie als Plan und fangt bei sich selbst an, zurekonstruieren. Hierfur werden alle Edge-Felder, deren Distance-Felder gleich d sind, in F�G notiert.Router

� �mit der Distanz 0 (einen Hop entfernt), werden uberpruft, ob B�+ � � 0 mit den Edge-Feldern

aus F�H ubereinstimmt. Die Router, die diese Bedingung erfullen, werden in ��H geschrieben. Somitreprasentiert � G , die Menge aller Router, die einen Abstand d zum Opfer haben. Fur jede Kante � ausF�G I � und jedes Element y aus �EG , berechnet das Opfer J � �.3KBEC + '�0 . Anschließend pruft das Opfer,ob ein direkter Nachbar

� �von ' , B�+ � � 0 � J erfullt. Falls ein Router

�Lgefunden ist, wird dieser in

�EG I � geschrieben. Diese Schritte werden Hop fur Hop fortgefuhrt und der Pfad rekonstruiert.

Obwohl nach Aussagen des Autors AMS I in Bezug auf DDoS-Angriffe, viel effizienter und genauerals FMS ist, steigt die Zahl der False Positives bei mehr als 60 gleichzeitigen Angreifern an. Wennmehrere Router den selben Abstand zum Opfer haben, ist man allein durch die Kenntnis des Hash-wertes nicht in der Lage, Pakete korrekt zuruckzuverfolgen.

Mit Advanced Marking Scheme (AMS) II wird eine weitere Steuer-Große eingefuhrt, mit deren Hilfedieses Problem gelost werden kann. Da man aber keinen weiteren Platz im IP-Identifikationsfeldhat, muss die Große des Hashwertes verringert werden. Anstatt zweier Hash-Funktionen, werdennun eine Menge von Hash-Funktionen benutzt. Es wird ein Flag-Feld eingefuhrt, um anzuzeigen,welche Hash-Funktion zum Markieren benutzt wurde. Hierbei wird das Identification-Feld in dreiBereiche aufgeteilt, ein M Bit großes Flag-Feld (fID), ein + ����NOM�0 Bit großes Edge-Feld und ein 5Bit großes Distance-Feld. Als Beispiel wird M ��P verwendet (siehe Abbildung 12). Das fID gibtan, welche Hash-Funktion verwendet werden soll. Ein Router, der markieren mochte, wahlt eine MBit große Zufallszahl ' , schreibt sie in das Flag-Feld und benutzt <E+ Q 'R� ��� S 0 , um seine IP-Adresse zuKodieren. Die weiteren Schritte sind wie unter AMS I. Eine Markierungsprozedur fur M ��P siehtfolgendermaßen aus:

fuer jedes Paket Px <- Zufallszahl aus dem Bereich [0,1)falls x<=p

y <- Zufallszahl aus {0,1,...,7}

18

P.fID <- yP.distance <- 0P.edge <- g({y,R_i})

sonstfalls P.distance=0 dann

P.edge <- P.edge XOR g´({P.fID,R_i})P.distance <- P.distance+1

Abbildung 12: Advanced Marking Scheme II

Das Rekonstruieren fur AMS II, ist ahnlich wie unter AMS I, mit dem Unterschied, dass hierfur einThreshold (Schwelle)-Schema benutzt wird. Bei dem m-Threshold-Schema, ist ein Knoten erst dannim Angriffspfad enthalten, wenn mehr als T Hash-Werte der ,-U Hash-Funktionen mit den Markie-rungen in den Angriffspaketen ubereinstimmen.

Das Advanced Marking Scheme II ist gemaß [8] effizient gegen DDoS Angriffen von mehr als 1000gleichzeitigen Angreifern. Der Rechenaufwand nimmt sogar ab, falls das Opfer die auf dem An-griffspfad liegenden Router kennt, da nicht die komplette IP-Adresse bekannt sein muss, damit derAngriffspfad rekonstruiert werden kann. AMS II ist somit robust gegen eine große Anzahl an DDoS-Angriffen.

5 Zusammenfassung

In dieser Arbeit wurden anfangs verschiedene Denial-of-Service-Angriffe vorgestellt, deren Ziel eineGefahrdung der Verfugbarkeit ist. Da das Falschen von Absenderadressen leicht moglich ist, stelltes ein Problem dar, Angreifer zu ihrer Quelle zuruckzuverfolgen (das so genannte IP-Traceback-Problem). Es wurden verschiedene Ansatze zur Losung des IP-Traceback-Problems diskutiert, derenZiel die Bestimmung der Quelle eines DoS-Angriffs ist. Eine Losung des IP-Traceback heißt robust,wenn die Anzahl der False Positives und False Negatives sehr gering sind.

Logging benotigt die meisten Ressourcen und der Erfolg hangt starker als bei Link Testing von der Zu-sammenarbeit der Administratoren ab. Es gibt kaum Organisationen die, dieses Verfahren implemen-tiert haben. Link Testing hat einen hohen Management-Aufwand, denn der Erfolg des Zuruckverfol-gens hangt dabei sehr stark davon ab, ob andere Netzwerkadministratoren bereit sind zu kooperieren.

19

Fur Ingress Filtering werden Router benotigt, die genugend Rechenleistung haben, um alle ankom-menden Pakete nach ihren Absender-Adressen zu uberprufen. Weiterhin mussen sie zwischen erlaub-ten und nicht erlaubten IP-Adressen unterscheiden konnen. Da aber Angreifer nach Belieben legaleIP-Adresse erzeugen konnen, kann nur ein kleiner Teil der Angriffe verhindert werden. Ingress Fil-tering ist als einziges Verfahren vorbeugend. Router Stamping ist einfach zu implementieren, jedochkann das Verfahren erst genutzt werden, nachdem das Opfer angegriffen wurde. Durch die Erweite-rung der Headergroße, entsteht ein geringfugiger Rechenaufwand beim Router und die Dauer fur dasVersenden der IP-Pakete steigt. Der Aufwand fur den Systemadministrator wird ebenfalls erhoht, dadie Positionen von Filtern auf den Routern immer wieder korrigiert werden mussen. Das Opfer mussdie Ergebnisse sammeln, auswerten und sich mit dem Systemadministrator in Verbindung setzen.ICMP-Traceback erzeugt einen geringen Arbeits- bzw. Rechenaufwand bei Systemadministratorenund Routern. Es wird lediglich zusatzlicher Verkehr erzeugt, der durch die zusatzlichen ICMP-Paketeverursacht wird. Ein Nachteil besteht darin, dass ICMP-Pakete oftmals gefiltert werden (Firewalls)und somit die Information ihr Ziel nicht erreicht. FMS erzeugt einen hohen Rechenaufwand fur dasErmitteln der richtigen Kombinationen der IP-Adresse des Routers. Bei vielen gleichzeitigen Angrei-fern, entstehen eine hohe Anzahl an False-Positives. Ein Vorteil des Verfahrens ist, dass das 16 Bitgroße Identifikation-Feld ausreicht, um die benotigten Informationen zu speichern. Voraussetzung desAdvanced Marking Scheme I ist, dass das Opfer die Netzwerktopologie kennt. Im Gegensatz zu FMSist der Rechenaufwand fur das Opfer geringer und das Verfahren robuster gegen DDoS-Angriffe.Bei mehr als 60 gleichzeitigen Angreifern werden jedoch False Positives erzeugt. Advanced MarkingScheme II ist eine Weiterentwicklung von AMS I. Es ist sehr robust gegen hunderte gleichzeitigerAngreifer.

In der Praxis ist die Unterstutzung von IP-Traceback nicht sehr verbreitet. Vereinzelt werden Verfah-ren wie z.B. Ingress-Filtering eingesetzt. Um jedoch robuste Ansatze wie AMS zu verwenden, ist eineUnterstutzung durch die beteiligten Router notwendig.

20

Literatur

[1] S. Bellovin: ICMP Traceback Messages. Network Working Group. Internet Draft, AT and TLabs Research, Marz 2000.

[2] H. Burch, B. Cheswick: Tracing Anonymous Packets to Their Approximate Source. Procee-dings of the 14th Systems Administration Conference (LISA 2000), New Orleans, Louisiana,USA, Dezember, 2000.

[3] T. W. Doeppner, P. N. Klein, A. Koyman: Using Router Stamping to Identify the Source of IPPackets. CCS 2000, Athen, Greece.

[4] G. Malkin: Traceroute Using an IP Option. RFC 1393, Januar 1993.

[5] J. Moy: OSPF Version 2. RFC 2178, April 1998.

[6] A. Pfitzmann: Sicherheit in Rechnernetzen. Mehrseitige Sicherheit in verteilten und durch ver-teilte Systeme. Skript zu den Vorlesungen Datensicherheit und Kryptographie, TU Dresden,Fakultat Informatik, 1990-1999.

[7] S. Savage, D. Wetherall, A. Karlin, T. Anderson: Practical Network Support for IP Traceback.Department of Computer Science and Engineering, University of Washington, Seattle, WA,USA. SIGCOMM 2000, Stockholm, Sweden.

[8] D. X. Song, A. Perrig: Advanced and Authenticated Marking Schemes for IP Traceback. Com-puter Science Department, University of California, Berkley, IEEE INFOCOM 2001.

[9] M. Sudan: Decoding of Reed Solomon codes beyond the error-correction bound. Journal ofComplexity, 13(1): 180-193,Marz 1997.

[10] A.S. Tanenbaum: Computer Netzwerke, 1992, 2. Auflage, Wolfram Verlag.

21