IP Spoof Attack Zhengming 2011-4-5 content • • • • • • Background IP Spoof history IP Spoof Attack Event IP Spoof Attack Categories IP Spoof Attack Demo IP Spoof Attack Defense Internet Protocol (IP) version IHL Type of Service Total length DF DF MF Identification Fragment offset Time to live Protocol Header checksum Source address Destination address Options (0 or more words) ECE 4112 - Internetwork Security 3 IP Spoof Background • 互联网上每周有4000多起源地址伪造攻击 • 美国、中国是世界上遭受源地址伪造攻击最 多的国家之一(CAIDA) • 98%的地址可以进行伪造或邻居伪造(MIT Spoofer) CAIDA Telescope • 一个实时backscatter (反射式)假冒源地址 DoS攻击观测平台 • 观察一个黑洞地址内收到的报文,其中许多是 被攻击者随机假冒黑洞内的地址空间,被受害 者发回的应答报文 • 可以估计互联网随机假冒源地址方式的攻击总 量(实际上由于黑洞为源地址的攻击报文可能 被过滤掉,实际上是低估了) • 也可以发现谁被攻击了(收到的源地址就是攻 击时的目的地址) MIT ANA Spoofer Project • 测量互联网对源地址伪造的过滤情况 – 多种源地址类型(invalid, valid, private) – 过滤粒度(可以伪造哪些邻居的地址?) – 地理位置(哪些运营商实施了源地址验证?) • 在所作的测量中,31%的用户可以伪造至少一 种地址;其余的用户中,有77%可以伪造不同 粒度的邻居的地址。 • 并且在过去四年中,全球网络在源地址过滤 方面不进反退。说明在防止伪造方面的发展不 如在网络规模上的发展速度。 Example IP Spoof History • 1985 Robbert Morris A weakness in the 4.2bsd unix TCP/IP software • 1989 S. M Bellovin Security Problems in the TCP/IP Protocol Suite • Morris Worm • Kevin Mitnick's Christmas Day IP Spoofing Attack • Non-blind attacks – Attacker and target on same subnet – Reply traffic can be sniffed • Blind attacks – Attacker and target on different subnets – Reply traffic cannot be seen by attacker – Attacker must be able to predict replies ECE 4112 - Internetwork Security 9 IP Spoofing Attack • Attacks made possible by IP spoofing include – Denial of Service (DOS) – Session Hijacking – Man in the Middle • To take over a TCP stream, sequence and acknowledgement numbers must be sniffed or predicted. ECE 4112 - Internetwork Security 10 IP Spoof Attack Categories 被假冒主机H 不存在于公网或是没 激活的源地址 SYN flooding 被假冒主机H 就是攻击目标 Smurf TFN ( tribe flood network) DrDoS Land 被假冒主机H 与V 在同一子网 Blind attack TFN2K ( tribe flood network 2000) 被假冒主机H 与A 在同一子网 Bounce Scan 被假冒主机H 在A 与V 通信路径上 被假冒主机H 既不与V 或A 在同一子 网, 也不在A 与V 通信路径上 MITM( man-in-the-middle) DEMO IP Spoof Defense • Router based filtering • End to End • Traceback Router based filtering • • • • • • • Ingress Filtering DPF SAVE Passports HCF ( hop count filtering) ARBIF Filter in Access Network End to End • IPSec • SPM • APPA Traceback • Packet Mark – PPM、DPM、Pi和AITF • Router Record – Hash-based IP Traceback • Collector – iTrace、CenterTrack IP Spoof Defense RS =random source, FS =fixed source , RD=random destination, FD=fixed destination 故事接龙 • 六怪拜访黄药师,黄药师无意理会,命哑 姑招呼各人。黄药师则独自划艇出海垂钓。 哑姑到海边找寻黄药师却见欧阳锋与杨康 到来。杨康诱骗哑姑引六怪到墓穴。欧阳 锋假扮黄药师将五怪杀死,故意放走柯镇 恶。使柯镇恶误会黄药师杀五怪,令天下 群攻黄药师。但欧阳锋、杨康留下不少蛛 丝马迹使黄蓉猜知乃二人所为。 Thanks & Questions