The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

DDoS Attack Tolerant Network using Hierarchical Overlay

계층적 오버레이를 이용한 DDoS 공격 감내 네트워크

  • 김미희 (이화여자대학교 컴퓨터학과) ;
  • 채기준 (이화여자대학교 컴퓨터학과)
  • Published : 2007.02.28
Download PDF
⟨ Previous Next ⟩

Abstract

As one of the most threatening attacks, DDoS attack makes distributed multiple agents consume some critical resources at the target within the short time, thus the extent and scope of damage is serious. Against the problems, the existing defenses focus on detection, traceback (identification), and filtering. Especially, in the hierarchical networks, the traffic congestion of a specific node could incur the normal traffic congestion of overall lower nodes, and also block the control traffic for notifying the attack detection and identifying the attack agents. In this paper, we introduce a DDoS attack tolerant network structure using a hierarchical overlay for hierarchical networks, which can convey the control traffic for defense such as the notification for attack detection and identification, and detour the normal traffic before getting rid of attack agents. Lastly, we analyze the overhead of overlay construction, the possibility of speedy detection notification, and the extent of normal traffic transmission in the attack case through simulation.

가장 위협적인 공격의 한 형태인 DDoS(Distributed Denial of Service) 공격은 다수의 공격 에이전트가 한꺼번에 많은 공격 트래픽을 특정 네트워크 또는 중요한 노드를 공격하는 특성을 갖고 있어 이로 인한 피해 지역 및 정도가 크다는 문제점이 있다. 이에 대한 기존의 많은 연구들은 탐지, 필터링, 추적 등에 집중되어 있고, 특히 피해 네트워크가 계층적인 구조를 갖고 있는 경우 특정 노드의 마비로 인해 하위 노드들의 정상 트래픽 전송이 어려워질 뿐 아니라, 탐지에 대한 다른 노드에 공지 및 추적을 위한 제어 트래픽 전송 또한 어려워 질 수 있다. 이에 본 논문에서는 계층적인 네트워크에서 이에 맞는 계층적인 오버레이를 구성하여, 공격 탐지 시 공지 및 추적을 위한 제어 트래픽을 오버레이를 이용해 전달하며, 공격 에이전트를 완전히 제거하기 전까지 정상적인 트래픽을 우회할 수 있는 DDoS 공격 감내 네트워크 구조를 제안한다. 또한 제안된 방법에서 오버레이 구성에 따른 오버헤드 분석과 공격 탐지 시 빠른 공격 차단 전달의 가능성과 신속성 및 정상 트래픽의 전송의 정도를 시뮬레이션을 통해 분석한다.

Keywords

References

  1. Ion Stoica, Robert Morris, David Karger, M. Frans Kaashoek, Hari Balakrishnan, 'Chord: A Scalable Peer to peer Lookup Service for Internet Applications,' SIGCOMM'01, pp.149-160, Aug., 2001 https://doi.org/10.1145/383059.383071
  2. Laura Feinstein, Dan Schnackenberg, Ravindra Balupari, Darrell Kindred, 'Statistical Approaches to DDoS Attack Detection and Response,' DARPA Information Survivability Conference and Exposition, 2003
  3. Wenke Lee, Salvatore J. Stolfo, 'Data Mining Approaches for Intrusion Detection,' Proc. of the 7th USENIX Security Symposium, pp.79-94, Jan., 1998
  4. Howard F. Lipson, 'Tracking and Tracing Cyber Attacks: Technical Challenges and Global Policy Issues,' Special Report, CMU/SEI 2002 SR 009, Nov., 2002
  5. P. Ferguson,D. Senie, 'Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing,' IETF RFC2827, May, 2000
  6. Heather L. Flanagan, 'Egress filtering - keeping the Internet safe from your systems,' http://www.giac.org/practical/gsec/Heather_Flanagan_GSEC.pdf
  7. Kihong Park, Heego Lee, 'On the Effectiveness of Route Based Packet Filtering for Distributed DoS Attack Prevention in Power Law Internets,' ACM SGOMM, pp.15-26, 2001 https://doi.org/10.1145/964723.383061
  8. M. Kaashoek, D. Karger, 'Koorde: A Simple Degree Optimal Distributed Hash Table,' Second Int'l Workshop Peer to Peer Systems, Feb., 2003 https://doi.org/10.1007/b11823
  9. Zhan Zhang, Shigang Chen, Yibei Ling, and Randy Chow 'Capacity Aware Multicast Algorithms on Heterogeneous Overlay Networks,' IEEE Transactions on parallel and distributed systems, Vol.17, No.2, pp.135-147, Feb., 2006 https://doi.org/10.1109/TPDS.2006.19
  10. Angelos Keromytis, Vishal Misra, Dan Rubenstein, 'SOS: An Architecture for Mitigating DDoS Attacks,' IEEE Journal on Selected Areas in Communications (JSAC), Vol.22, No.1, Jan., 2004 https://doi.org/10.1109/JSAC.2003.818807
  11. Hao Yang, Haiyun Luo, Yi Yang, Songwu Lu, Lixia Zhang, 'HOURS: Achieving DoS Resilience in an Open Service Hierarchy,' International Conference on Dependable Systems and Netowrks (DSN'04), pp.83-92, June, 2004 https://doi.org/10.1109/DSN.2004.1311879
  12. Mihui Kim, Kijoon Chae, 'Detection and Identification Mechanism against Spoofed Traffic Using Distributed Agents,' ICCSA2004, LNCS 3043, pp.673-682, May, 2004
  13. Mihui Kim, Hyunjung Na, Kijoon Chae, Hyochan Bang, Jungchan Na, 'A Combined Data Mining Approach for DDoS Attack Detection,' ICOIN2004, LNCS 3090, pp.943-950, Feb., 2004
  14. GloMoSim (Global Mobile Information Systems Simulation Library), http://pcl.cs.ucla.edu/projects/glomosim/