Обнаружение подмены IP-адреса путем моделирования истории точек входа IP-адресов

[Father]

Поскольку многие сети не применяют фильтрацию IP-адресов источника к исходящему трафику, злоумышленник может вставить произвольный IP-адрес источника в исходящий пакет, т. е. спуфинг IP-адреса. В этом документе подробно рассматривается возможность обнаружения спуфинга в большой сети, пиринговой с другими сетями. Предлагаемая схема обнаружения основана на анализе данных NetFlow, собранных в точках входа в сеть. Схема предполагает, что сетевой трафик, исходящий из определенной исходной сети, поступает в контролируемую сеть через относительно стабильный набор точек. Схема протестирована на данных из реальной сети.

Скачайте, чтобы прочитать полный текст доклада конференции.

Авторы

• Михал Ковачик
• Михал Каян
• Мартин Жадник

Рекомендации

1. Беленький А., Ансари Н .: Отслеживание IP с детерминированной маркировкой пакетов. Письма по коммуникациям IEEE 7 (4), 162–164 (2003) CrossRef Google Scholar
2. Бремлер-Барр, А., Леви, Х .: Метод предотвращения спуфинга. В: Proc. IEEE INFOCOM (март 2005 г.) Google Scholar
3. Дэн AM, Usc / isi, DM, Felix, S., Ucdavis, W., Ucla, LZ, Wu, CSF: О разработке и оценке «управляемой намерением» трассировки ICMP. В: Proceedings of IEEE ICCCN (октябрь 2001 г.) Google Scholar
4. Фергюсон, П., Сени, Д.: Фильтрация входящего сетевого трафика: борьба с атаками типа «отказ в обслуживании», в которых используется подмена IP-адреса источника. RFC 2827 (май 2000 г.) Google Scholar
5. fprobe: fprobe (март 2011 г.), http://fprobe.sourceforge.net
6. INVEA-TECH: Flowmon (март 2011 г.), http://www.invea-tech.com/products/flowmon
7. Джин, К., Ван, Х., Шин, К.Г.: Фильтрация по счетчику переходов: эффективная защита от спуфинга DDoS-трафика. В: Proceedings of ACM CCS 2003 (октябрь 2003 г.) Google Scholar
8. Ли, Дж., Миркович, Дж., Эренкранц, Т., Ван, М., Рейхер, П., Чжан, Л .: Изучение действительного направления входящих IP-пакетов. Comput. Netw. 52 (2), 399–417 (2008).zbMATH CrossRef Google Scholar
9. Лион, Г.Ф .: Сетевое сканирование Nmap. Небезопасный, США (2008) Google Scholar
10. Пенг, Т., Леки, К .: Скорректированная вероятностная маркировка пакетов для IP Traceback. В: Грегори, Э., Конти, М., Кэмпбелл, А. Т., Омидьяр, Г., Цукерман, М. (ред.) СЕТЬ 2002. LNCS, т. 2345. С. 697–708. Спрингер, Гейдельберг (2002) Google Scholar
11. Пенг, Т., Леки, К., Рамамоханарао, К .: Упреждающее обнаружение распределенных атак типа «отказ в обслуживании» с использованием мониторинга IP-адреса источника. В: Mitrou, NM, Kontovasilis, K., Rouskas, GN, Iliadis, I., Merakos, L. (eds.) NETWORKING 2004. LNCS, vol. 3042. С. 771–782. Спрингер, Гейдельберг (2004) Google Scholar
12. Сэвидж, С., Ветералл, Д., Карлин, А., Андерсон, Т .: Практическая сетевая поддержка для отслеживания IP. SIGCOMM Comput. Commun. Ред. 30 (4), 295–306 (2000).CrossRefGoogle Scholar
13. Шен, Ю., Би, Дж., Ву, Дж., Лю, К .: Двухуровневая защита от подделки адреса источника, основанная на механизме автоматической подписи и проверки. In: Computers and Communications, ISCC 2008, pp. 392–397 (июль 2008 г.). Google Scholar
14. Song, DX, Perrig, A .: Расширенные и проверенные схемы маркировки для отслеживания IP. В: Труды ИНФОКОМ 2001, т. 2 (апрель 2001 г.) Google Scholar
15. Strayer, WT, Джонс, CE, Tchakountio, F., Hain, RR: SPIE-IPv6: Отслеживание одиночного пакета IPv6. В: Proceedings of LCN 2004, Вашингтон, округ Колумбия, США (ноябрь 2004 г.)Google Scholar
16. Systems, C .: NetFlow Services Solutions Guide (июль 2007 г.), http://www.cisco.com/en/US/products...n_design_guide09186a00800d6a11.html#wp1030098
17. Team Cymru Inc .: Справка о богонах (апрель 2012 г.), http://www.team-cymru.org/Services/Bogons/
18. Wang, H., Jin, C., Shin, KG: Защита от поддельного IP-трафика с помощью фильтрации по количеству переходов. IEEE / ACM Trans. Netw. 15 (1) (февраль 2007 г.) Google Scholar
19. Ваннер, Р .: Перехват сеанса в сетях Windows. SANS Inst. (Октябрь 2006 г.), http://www.sans.org/reading_room/whitepapers/windows/session-hijacking-windows-networks_2124
20. Се, Л., Би, Дж., Ву, Дж .: Метод предотвращения спуфинга адреса источника на основе аутентификации, развернутый в пограничной сети iPv6. В: Shi, Y., van Albada, GD, Dongarra, J., Sloot, PMA (ред.) ICCS 2007, Часть IV. LNCS, т. 4490. С. 801–808. Спрингер, Гейдельберг (2007) CrossRef Google Scholar
21. Zuquete, A .: Улучшение функциональности файлов cookie SYN. В: Proc. IFIP TC6 / TC11 Связь и безопасность мультимедиа, стр. 57–77 (сентябрь 2002 г.) Google Scholar