Journal of KIISE:Information Networking (한국정보과학회논문지:정보통신)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

Minimizing Security Hole and Improving Performance in Stateful Inspection for TCP Connections

TCP연결의 스테이트풀 인스펙션에 있어서의 보안 약점 최소화 및 성능 향상 방법

  • 김효곤 (고려대학교 컴퓨터학과) ;
  • 강인혜 (서울시립대학교 기계정보공학과)
  • Published : 2005.08.01
Download PDF
⟨ Previous Next ⟩

Abstract

Stateful inspection devices must maintain flow information. These devices create the flow information also for network attack packets, and it can fatally inflate the dynamic memory allocation on stateful inspection devices under network attacks. The memory inflation leads to memory overflow and subsequent performance degradation. In this paper, we present a guideline to set the flow entry timeout for a stateful inspection device to remove harmful embryonic entries created by network attacks. Considering Transmission Control Protocol (TCP) if utilized by most of these attacks as well as legitimate traffic, we propose a parsimonious memory management guideline based on the design of the TCP and the analysis of real-life Internet traces. In particular, we demonstrate that for all practical purposes one should not reserve memory for an embryonic TCP connection with more than (R+T) seconds of inactivity where R=0, 3, 9 and $1\leqq{T}\leqq{2}$ depending on the load level.

스테이트풀 인스펙션을 수행하는 기기에서는 패킷 플로우에 대한 정보를 유지해야 한다. 이러한 기기는 네트워크 공격 패킷에 대하여도 패킷 플로우 정보를 유지하게 되어 네트워크 공격 하에서 과도한 메모리가 요구되고 이로 인하여 메모리 오버플로우나 성능 저하가 일어난다. 따라서 이 논문은 스테이트풀 패킷 인스펙션 시 공격에 의해 생성되는 불필요한 미완성 엔트리를 제거하기 위해 사용할 수 있는 플로우 엔트리 타임아웃 값에 대한 가이드라인을 제시한다. 대부분의 인터넷 트래픽과 상당수의 네트워크 공격이 TCP 프로토콜을 사용하기 때문에 RFC2988의 TCP 재전송 시간 계산 규약에 기초를 둔 실제 인터넷 트레이스에 대한 분석을 통해 가이드라인을 도출한다. 구체적으로, 미완성 TCP 연결 설정 상태에서 (R+T) 초 이상 경과한 엔트리는 제거하여야하며, 이 때 R은 SYN 재전송 허용 회수에 따라 0,3,9를 선택하고 T는 $1\leqq{T}\leqq{2}$ 에서 부가적인 왕복 지연 허용치에 따라 선택하여야 함을 보인다.

Keywords

References

  1. Stateful-inspection firewalls: The Netscreen way, white paper, http://www.netscreen.com/products/firewall_wpaper.html
  2. G. Iannaconne, C. Diot, I. Graham, N. McKeown, 'Dealing with high speed links and other measurement challenges,' Proceedings of ACM Sigcomm Internet Measurement Workshop, 2001
  3. K. Claffy, G. Polyzos, and H.-W. Braun, 'A parametrizable methodology for Internet traffic flow monitoring,' IEEE JSAC 8(13), Oct. 1995, pp.1481-1494
  4. H.- W. Braun, K. Claffy, and G. Polyzos, 'A framework for flow-based accouting on the Internet,' Proceedings of IEEE Singapore International Conference on Information Engineering, 1993. pp. 847-851 https://doi.org/10.1109/SICON.1993.515706
  5. V. Srinivasan, G. Varghese, S. Suri, M. Waldvogel, 'Fast Scalable Algorithms for Level Four Switching,' Proceedings of ACM Sigcomm, 1998
  6. L. G. Roberts, 'Beyond Moore's Law: Internet Growth Trends,' IEEE Computer, 33 (1), Jan. 2000, Page(s): 117 -11 https://doi.org/10.1109/2.963131
  7. P. Gupta and N. McKewon, 'Packet classification on multiple fields,' Proceedings of ACM Sigcomm, 1999
  8. F.Baboescu and G.Varghese, 'Scalable packet classification,' Proceedings of ACM Sigcomm, 2001
  9. S. Singh, F. Baboescu, G. Varghese and J. Wang, 'Packet Classification Using Multidimensional Cuts,' Proceedings of ACM Sigcomm 2003
  10. Gill, 'Maximizing firewall availabilty,' http://www.qorbit.net/documents/maximizing-firewall-availability.htm
  11. IP Monitoring Project at Sprint, http://ipmon.sprint.com/ipmon.php
  12. R. Stevens, TCP/IP Illustrated Vol. 1, Addison-Wesley, 1994
  13. V. Paxson and M. Allman, Computing TCP's retansmission timer, RFC 2988, Nov. 2000
  14. H. Kim, 'Dynamic memory management for packet inspection computers,' techreport, http://ubiquitous.korea.ac.kr/lifetime.html
  15. K. Houle and G. Weaver, 'Trends in denial of service attack technology,' a CERT paper, http://www.cert.org/archive/pdf/DoS_trends.pdf, Oct. 2001
  16. IANA, 'Internet protocol V4 address space,' http://www.iana.org/assignments/ipv4-address-space
  17. P. Vixie (ISC), G. Sneeringer (UMD), and M. Schleifer (Cogent). Events of 21-Oct-2002. November 24, 2002
  18. D. Moore et al., 'The spread of Sapphire worm,' techreport, http://www.caida.org/outreach/papers/2003/sapphire/sapphire.html, Feb. 2003
  19. M. de Vivo, E. Carrasco, G. Isern, and G. de Vivo, 'A review of port scanning techniques,' ACM Computer Communication Review, 29(2), April 1999 https://doi.org/10.1145/505733.505737
  20. NLANR, 'NLANR network traffic packet header traces,' http://pma.nlanr.net/Traces/