Peter Hillmann 1

Strategie zur Verfolgung einzelner

IP-Pakete zur Datenflussanalyse

Peter Hillmann

Institut für Technische InformatikFakultät für Informatik

Peter.Hillmann@unibw.de

Peter Hillmann 3

Gliederung

1. Motivation

2. Anforderungen

3. Neuer Ansatz: Tracemax

4. Evaluation

5. Zusammenfassung

Peter Hillmann 4

1. Motivation

Steigende Anzahl

und Qualität

von Angriffen

auf IT-Systeme

Angriffe im

Kollektiv

Mehrere Quellen

und Angreifer

(z. B. DDoS)

Peter Hillmann 5

1. Problemstellung

Adäquate Abwehrnotwendig

Verursacherlokalisieren

Eindeutige,beweisbareIdentifizierungdes Angreifers

Genaue (Rück-)Verfolgung

Peter Hillmann 6

1. Anwendungsgebiet

Ziel:– Verfolgung einzelner IP Pakete– Identifizierung des Netzpfades

Annahmen– Dynamische Änderung von Routen– Verlust von Datenpaketen und Veränderung der Reihenfolge– Angreifer kann beliebige Datenpakete erzeugen (Fälschen von Headern)

Weitere Anwendungsgebiete:– Verbesserte Angriffserkennung, Zusatzinformationen für IDS/IPS– Erkennung von Covert Channels– Zonen Routing, Load-Balancing– Netzanalysen, Routing-Anomalien

Peter Hillmann 7

2. Anforderungen

Einzelpaketverfolgung

Differenzieren von mehreren Angreifern

Schnelle Pfadrekonstruktion– Kurze Angriffserkennungszeit– Präventiv einsetzbare Maßnahme

Geringe zusätzliche Netzlast (Effizienz, Kosten)

Paketverfolgung über mehr als 50 Hops– Tracert: UniBwM - Tor Project >18 Hops– Prognose 2011 [1]: Höchste Anzahl von Hops 56

[1] David Chinnery and Ben Horowitz. A Network Hub Architecture in 2011

Peter Hillmann 8

2. Stand der Wissenschaft

ICMP (Internet Control Message Protocol)

Router Stamping (Deterministisch, Probabilistisch)– Markierung im Option Field des IP Headers– Max. 9 Hops oder mehrere Pakete zur Pfadrekonstruktion

Packet Marking (Node und Edge Sampling)– Markierung am Ende des Payloads– Fehler beim Empfänger, erhöhte Netzlast

Link Testing (Input Debugging und Controlled Flodding)– Verursacht hohe Netzlast– Erfordert anhaltenden Angriff

Peter Hillmann 9

3. Neuer Ansatz: Tracemax

Initiierung– Anfrage an ISP zur Paketverfolgung über Service-Interface– Aktivierung der Paketverfolgungsstrategie

Tracemax:– Vorabplanung und Konfiguration– Markierungsschema– Pfadrekonstruktion

Markierung der Pakete auf dem PfadWo können Informationen gespeichert werden?Wie können Informationen entsprechend komprimiert werden?

Peter Hillmann 10

3. Tracemax: ID Zuweisung

Jeder physische Port einer Netzkomponente erhält eine eigene ID Orientierung an der Portnummer

IDs werden vorab vergeben

IDs sind nicht zwingend im ganzen System eindeutig

Peter Hillmann 11

3. Tracemax: Falsche ID Zuweisung

Zwei verschiedene Nachbarknoten eines betrachteten Knoten haben unterschiedliche IDs auf eingehenden Verbindungen

Lösung: Inkrementieren einer ID auf nächst freie ID

Peter Hillmann 12

3. Tracemax: Markierungsschema

ID <= 6 Bits– Kleiner als IP-Adressen (32 Bit)

– Exakte Größe ist situationsabhängig

– Es lassen sich viele IDs in das

Option Field speichern

Markierung im Option Field des IP-Headers (max 40 Byte)Keine störenden Nebeneffekte

Markierung eines Paketes vor der Weitergabemit ID des Ausgangs-Interfaces

Peter Hillmann 13

3. Tracemax: Rekonstruktion

Empfänger: Extraktion der IDs aus dem Header

Letzter markierter Knoten muss bekannt sein(Empfänger oder IP Adresse des Endpunktes vermerken)

Reihenfolge definiert die passierten Netzknoten

Korrelation der ID Sequenz mitder Netzinfrastruktur

Ermittlung des Pfades rückwärts

Beispiel ID Sequenz: 23323

Peter Hillmann 14

3. Tracemax: Weiteres

Löschung des Option Field bei Eingang ins Tracemax Netz Speicherplatz für die IDs

Option Type mit variabler Länge (8 Bit + 8 Bit):– 1 Bit Copy Flag (Fragmentierung)– 2 Bits Option Class (Control, Debug, Measurement = 102)– 5 Bits Option Number (Unassigned number)– 8 Bits Length (max. Wert 4010)

Einhaltung der Formatierung ist notwendig– Fehlerhaft geformte Pakete– Verwechslung mit anderen Option Parameter (einige werden geblockt)

• Loses Sender-Routing

• Striktes Sender-Routing

Peter Hillmann 15

4. Evaluation

Prototypische Implementierung mittels Scapy in Python

Virtualisierte Testumgebung

Wireshark zur Paketaufzeichnung

Peter Hillmann 16

5. Zusammenfassung

Tracemax– Verfolgung einzelner Pakete– Paketverfolgung über viele Hops und lange Pfade– Kein Nebeneffekt auf Nutzdaten– Einfach realisierbar, präventiv einsetzbar– Keine Veröffentlichung von Informationen über Netztopologie– Geringe zusätzliche Netzlast, gute Skalierbarkeit– Identifizierung von mehreren Sendern und variierenden Routen

Ausblick– Flexibilisieren der flächendeckenden Konfiguration– Analyse des Verhaltens bei konkurrierenden Anwendungen

bzgl. des Option Field– Einreichung als RFC– IPv6

Peter Hillmann 17

Vielen Dank für Ihre Aufmerksamkeit

Peter Hillmann 18

Vergleich der Strategien

Peter Hillmann 19

Tracemax: Überbrücken von Hops

Peter Hillmann 20

Tracemax: Vereinfachte IDs

Nur jede Netzkomponente erhält eine ID

Oft größere ID Nummern notwendigEindeutige Pfadrekonstruktion problematischer bei nicht

markierenden Netzkomponenten