【NDN安全】DoS & DDoS in Named Data Networking 学习笔记

1、内容对象是命名的数据包。(我们交替使用术语内容对象(content object)和数据包(data packet)。)内容对象域包括:

      (1)签名(Signature):公钥签名(例如,RSA或EC-DSA)来计算整个内容包,包括其名字。

      (2)密钥定位器(Keylocator):使用密钥需要验证内容签名。该域可能包含下面之一:验证所用公钥、包含验证密钥的证书、或者使用验证密钥的NDN名字。

      (3)发布者公钥摘要(PublisherPublicKeyDigest):内容生产者的公钥哈希。

2、兴趣包携带下面的域:

      (1)发布者公钥摘要(PublisherPublicKeyDigest):可选的域,包含所请求内容的生产者的公钥哈希。

      (2)排除域(Exclude):可选的域,不应该出现在响应该兴趣包的返回的内容名字的特定组件中。

      (3)是否由源响应(AnswerOriginKind):指定是否请求的内容可以从一些路由器获得,或者必须被生产者生成。

      (4)范围(Scope):限制可以传播的兴趣包的跳数。范围0和1限制到源主机的传播;范围2限制到一跳NDN路由器的传播。

3、DoS攻击类型:

      (1)通过带宽消耗。通过TCP、UDP或者ICMP,单个或大量的攻击者以最大速率向被攻击者发送包流量。

      (2)反应式攻击。攻击者使用反射器将被攻击者淹没在巨大流量中。需要三方参与:攻击者、被攻击者和一些中间受劫持的路由器(反射器)。

      (3)基于前缀劫持的黑洞攻击。前缀劫持攻击:一个错误配置的、受劫持的或恶意的自治系统广告无效路由,致使其他AS向其转发流量。黑洞攻击:所有发送到恶意AS的流量都被简单丢弃。

4、基于请求内容类型的3种兴趣包洪泛攻击:

      (1)内容已存在的或静态的兴趣包洪泛攻击。最初的兴趣包传播到生产者,后续兴趣包由于可以被缓存副本满足,而不会引起兴趣包洪泛攻击。

      (2)内容动态生成的兴趣包洪泛攻击。动态生成内容,但对内容进行签名,签名操作会消耗明显的计算资源。生产者可能因恶意兴趣包而超载,不能处理来自其他消费者的请求。

      (3)内容不存在的兴趣包洪泛攻击。这样的兴趣包不能被中间路由器满足,因此被路由到目标内容生产者。这些兴趣包占据中间路由器的PIT表项,直到表项超时。我们认为路由器是该攻击类型主要的受攻击者。给定一个有效的名字前缀 /prefix,攻击者构建许多未满足的兴趣包存在几种有效的方式,并且不容易被路由器检测:

              <1>兴趣包名字为 /prefix/nonce,这样的兴趣包将被一直转发到生产者,并从不会被满足。

              <2>设置 PublisherPublicKeyDigest 域为一个随机值,由于没有公钥能匹配该值,兴趣包将一直是未被满足的。

              <3>设置兴趣包 Exclude 域为排除所有现存的以 /prefix 开始的内容。由于这样的兴趣包同时请求并排除相同的内容,因此该兴趣包不能被满足。

5、兴趣包洪泛攻击的应对策略:

      (1)依据路由器统计数据。

              <1>每个出接口的待定兴趣包。每个路由器可以计算每个出接口最大数量的待定兴趣包,该待定兴趣包是在PIT表项超时之前可以满足的,基于平均内容包大小,兴趣包超时时间和相应链路的带宽-延迟积。

              <2>每个进接口的兴趣包。路由器可以容易地检测出哪个进接口发送了太多不能满足的兴趣包。

              <3>每个命名空间的待定兴趣包。路由器可以限制该前缀待定兴趣包的总数量,并禁用发送太多相同前缀的未满足的兴趣包的进接口。

      (2)回推机制。回推机制允许路由器孤立攻击源。当路由器的某一接口上发送的某一命名空间的兴趣包达到PIT限额,路由器遏制该命名空间的新的兴趣包,并将该行为报告给与该接口相连的路由器。反过来,这些路由器通过该接口向下游传播这样的信息,同时也限制了该受到攻击的命名空间的兴趣包的转发速率。回推机制的目的是将攻击一路推回到源,或者至少是攻击可以被检测到的位置。

6、对于内容 / 缓存污染攻击的应对策略,NDN路由器面临着两个挑战:

      (1)签名验证开销。拥有吉比特速率(或者更快)的接口想要以线速验证包的签名,所需的计算能力不现实。

      (2)信任管理。信任管理体系负责内容的签名验证密钥的管理,这需要灵活性和安全性的权衡。

7、缓存污染攻击的变体:

      (1)攻击者控制一些NDN路由器,因此可以知道当前针对特定内容的待定兴趣包,攻击者控制的这些路由器接收到兴趣包即注入污染的内容,这些内容被中间路由器缓存。

      (2)攻击者可以得知当前流行的内容所请求的兴趣包,通过控制大量的僵尸主机,发送请求该内容的合法的兴趣包,又通过控大量的主机或路由器,制造污染的内容。其他路由器缓存该内容,后续请求该内容的兴趣包即会得到受污染的内容。


已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 书香水墨 设计师:CSDN官方博客 返回首页