Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 1 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Vorlesung.

Veröffentlicht von:Lorelei Wesling Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 1 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Vorlesung."—  Präsentation transkript:

1 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 1 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Vorlesung Sommersemester 2003 Algorithmische Grundlagen des Internets III Christian Schindelhauer schindel@upb.de HEINZ NIXDORF INSTITUT Universität Paderborn Fakultät für Elektrotechnik, Informatik und Mathematik Institut für Informatik AG Theoretische Informatik Algorithmen, Komplexitätstheorie, Paralleles Rechnen

2 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 2 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Inhalte 1.Kurzübersicht TCP/IP 2.IP: Der Kampf gegen DoS-Angriffe (denial of service) 3.TCP: Verteilte faire und effiziente Durchsatzoptimierung 4.Der Webgraph: Struktur und Aufbau Suchalgorithmen für das Internet 5.P2P (Peer to Peer-Netzwerke): Effizientes File-sharing 6.Web-Caching: Surfen ohne Engpässe

3 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 3 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Netzwerkschicht (I) (network layer) oIP (Internet Protocol) + Hilfsprotokolle ICMP (Internet Control Management Protocol) IGMP (Internet Group Management Protocol) Ermöglicht Verbund von (lokalen) Netzwerken IP ist ein unzuverlässiger verbindungsloser Datagrammauslieferungsdienst oDatagramm besteht aus Anwendungsdaten und Header: Absender, Zieladresse TOS-Feld (type of service) TTL-Feld (time to live)... (z.B. Paketlänge, Checksum für Header)

4 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 4 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Dienstverweigerungsangriffe (Denial of Service DoS) Denial of Service (DoS)-Angriffe verbrauchen die Ressourcen eines Rechners oder Netzwerks, um deren Verfügbarkeit zu verringern oder auszuschalten. Angriffsziel Rechner – z.B. SYN-Angriffe: Angriffsziel Rechner im Internet Eine Reihe von half- open TCP-Verbindungen wird aktiviert Ununterscheidbar von regul ären Anfragen Der TCP-Server muss SYN/ACK-Pakete senden und auf Reaktion warten – Rechnerangriffe k önnen rel. gut lokal abgewehrt werden Angriffsziel Netzwerk – z.B. SMurf-Angriff oder distributed DoS (DDoS) – Angriff gegen Internet-Service Provider (ISP) – Gro ßer Datenstrom wird auf Netzwerk gerichtet – Mit gleicher H äufigkeit werden gültige wie DoS-Pakete wegen Überlastung durch IP gelöscht – Netzwerkangriffe sind schwierig zu bekämpfen

5 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 5 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer IP ist DoS-anf ällig Wie kann man die Quelle(n) einer eingehenden Datagrammflut mit gefälschten Quell-IP-Adressen bestimmen? DoS-Angriffe auf IP-Ebene k önnen meist nicht zurückverfolgt werden – Der Angreifer erzeugt Datagramme mit falscher Quell-IP-Adresse – Dem Empf änger der Datagramme steht die Routeninformation nicht zur Verfügung – Es sei denn alle Router kooperieren bei der Suche, während einer Attacke DoS-Datagramme können nicht von legitimen Datatgrammen unterschieden werden – Nur implizit und aus dem Kontext. Beispiele: Universitätsrechner werden oft benutzt, um DoS-Attacken mit korrekter Quellinformation zu führen. 11. September 2001 – Sämtliche Nachrichtensites brachen unter der legitimer Last zusammen

6 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 6 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Quellbestimmung einer DoS-Attacke Motivation: – Im einfachsten Fall: Quelle = Angreifer – Abschalten instrumentalisierter Rechner beendet (vorerst) den Angriff Problem Reflektorangriff – Angreifer schickt Datagramme mit Opfer-IP-Adresse als falscher Quellinformation an unbeteiligte Netzteilnehmer (Rechner oder Drucker – Die unbeteiligten Netzteilnehmer beantwortet Request an mutmaßliche Quelle – Das Opfer erhält die DoS-Attacke von diesen instrumentalisierten Netzteilnehmern Gegenmaßnahme – Vom instrumentalisierten Netzteilnehmer aus, muss der Angreifer gefunden werden

7 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 7 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer L ösungen gegen DoS-Attacken Ingress filtering [Ferguson, Senie 98] – Router blockieren Pakete mit fehlerhafter Quellinformation – Sinnvoll an Schnittstellen von ISP – Effektiv nur bei universellen Einsatz – Wird aber nicht bei der Mehrheit der ISP eingesetzt Link testing by input debugging – Routenrückverfolgung stromaufwärts – Opfer beschreibt allgemeines Merkmal der DoS-Datagramme (attack signature) – Opfer kommuniziert diese Merkmal an Netzwerkbetreiber der eingehenden Datagramme – Dieser wiederholt dies bis zur Quelle – Einige ISP haben dieses Verfahren automatisiert [Stone 00]

8 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 8 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Quellbestimmung einer DoS-Attacke Link testing durch controlled flooding [Burch, Cheswick 99] – Opfer verfügt über eine aktuelle Routingkarte – Während eines DoS-Angriffs konstruiert das Opfer die Angriffsrouten stromaufwärts indem es alle Möglichkeiten der letzten unbekannten Station selber durch einen DoS-Angriff belegt Läßt die Datenmenge kurzfristig nach, ist eine Station gefunden und der Vorgang wird per Tiefensuche fortgesetzt – Nachteile Opfer wird selber zum Angreifer Kaum geeignet für verteilte DoS-Angriffe (DDoS) Kann leicht von einem Angreifer überlistet werden – durch eingebaute Fluktuationen

9 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 9 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Quellbestimmung einer DoS-Attacke ICMP Traceback – Mit geringer Wkeit (z.B. 1/20.000) wird in einem Router ein ICMP-traceback-datagramm an den Zielknoten geschickt – Der Zielknoten kann dann den Weg rekonstruieren – Nachteile: ICMP-Pakete könnten bei Pufferüberlauf vor IP-datagrammen gelöscht werden Marking [Savage et al. 00] – In ungenutzte Felder des IP- Headers schreibt jeder Router seine Adresse mit gewisser Wkeit – Nachteil: DDoS-Pfade nur schwer rekonstruierbar Logging – Jeder Router zeichnet alle IP-Header auf – Durch Data-Mining- Techniken kann der Angreifer bestimmt werden – Aber enormer Aufwand

10 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 10 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Quellbestimmung einer DoS-Attacke Verwaltungs- aufwand NetzwerklastRouter- aufwand Post mortem fähig Präventiv/ reaktiv Ingress filtering moderatniedrigmoderatNeinpräventiv Link testing by input debugging hochniedrighochschlechtreaktiv Link testing by flooding niedrighochniedrigschlechtreaktiv Logginghochniedrighochausgezeichnetreaktiv ICMP Traceback niedrig ausgezeichnetreaktiv Markierenniedrig ausgezeichnetreaktiv

11 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 11 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer ICMP Traceback (Analyse I) Theorem 1. Wird mit Wahrscheinlichkeit p ein ICMP-Paket erzeugt, dann sind erwartet ((ln d) + O(1))/p DoS-Pakete ausreichend zur Bestimmung eines DoS Pfades aus d Routern. 2. Um mit Wahrscheinlichkeit 1 ε den Pfad zu bestimmen gen ügen ln(d)/p ln(ε)/p DoS Pakete. Beweis Sei t die Anzahl der DoS-Pakete. Bezeichne X i,t die Zufallsvariable die Anzahl der Pakete, die Router i nach t DoS-Paketen erzeugt. Dann ist die Wahrscheinlichkeit P[X i,t = 0], dass Router i kein ICMP-Paket erzeugt: Lemma: Für alle n>1 gilt:

12 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 12 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer ICMP Traceback (Analyse II) Sei t die Anzahl der DoS-Pakete Bezeichne X i,t die Zufallsvariable für die Anzahl der Pakete, die Router i nach t DoS-Paketen erzeugt. Die Wahrscheinlichkeit, dass einer der d Router kein Paket schickt, ist

13 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 13 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer ICMP Traceback (Analyse III) 2. Fall: Die Wahrscheinlichkeit, dass einer der d Router kein Paket schickt, soll kleiner als sein. Damit ist 1. Fall: Sei Y die Zufallsvariable, die beschreibt, wieviele Runden notwendig sind, bis jeder der d Router ein Paket verschickt hat Es gilt

14 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 14 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer ICMP Traceback (Analyse III) 1. Fall: Sei Y die Zufallsvariable, die beschreibt, wieviele Runden notwendig sind, bis jeder der d Router ein Paket verschickt hat Es gilt Der Erwartungswert von Y ist dann

15 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 15 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer ICMP Traceback (Analyse III)

16 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 16 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer ICMP Traceback (Analyse IV) Zusätzliche Annahmen:

17 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 17 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Markierung Voraussetzungen und Annahmen Ein Angreifer kann alle Pakettypen erzeugen Verschiedene Angreifer können konspirieren Angreifer wissen, dass die Pakete zurückverfolgt werden Pakete können verloren gehen oder ihre Reihenfolge kann vertauscht werden Angreifer senden zahlreiche Pakete Die Route zwischen Angreifer und Opfer ist relativ stabil Die Router habe beschränkte Rechen- und Speicherressourcen Die Router arbeiten im wesentlichen ordnungsgemäß

18 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 18 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Das Traceback-Modell V:Opfer R i :Router A j :mögliche Angreifer A x =A 3 :tats ächlicher Angreifer P = (R 2,R 4,R 5 ):Angriffspfad (R 1,R 3, R 2,R 4,R 5 ):von A x vorget äuschter Pfad A1A1 A3A3 R3R3 R1R1 V A2A2 R5R5 R2R2 R4R4 V A2A2 R5R5 R2R2 R4R4 P R3R3 R1R1

19 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 19 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Problemstellungen oExact traceback: Berechne exakten Angriffspfad P oApproximate traceback: Finde Pfad P mit Angriffspfad P als Suffix Angreifer kann l ängeren Pfad vortäuschen oZwei Algorithmen: 1.Markierungsalgorithmus im Router Algorithmus schreibt Pfadinformation in den IP-Header durchlaufender Datagramme 2.Pfadrekonstruktion durch Opfer L öst approximate traceback oQualtit ätsmerkmale: Konvergenzzeit: Anzahl notwendiger Pakete zur Lösung Speicherbedarf in IP-Header Berechnungsaufwand

20 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 20 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Node Append Pfadprotokoll (node append) – In IP-Header wird gesamte Pfadinformation gespeichert – Jeder Router hängt seine IP an. Konvergenzzeit: 1 Pfadlänge im vorhinein nicht bekannt Datagrammlänge (praktisch) konstant Angreifer kann falsche Pfade fingieren Erheblicher Overhead Markierung bei Router R begin for all packets w do F üge R zu w hinzu od end Pfadrekonstruktion durch Opfer V begin for a packet w do Extrahiere Pfad P aus w od return P end

21 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 21 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Node Sampling Knotenproben (node sampling) – Mit Wahrscheinlichkeit p>1/2 schreibt der Router seine IP- Adresse in den IP-Header – Nur eine Adresse Markierung bei Router R begin for all packets w do x Zufallszahl aus [0..1] if x<p then w.router R (Ersetze alte Inform.) fi od end Pfadrekonstruktion durch Opfer V begin for all packets w do N(R) Anzahl Pakete mit Router R aus Paket w od P sortierte Liste aller vorgekommenden Router R gem äß N(R) return P end

22 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 22 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Konvergenz Node Sampling Lemma Die Wahrscheinlichkeit bei der Pfadrekonstruktion von Node- sampling ein Paket mit Router-IP R, der Hopdistanz d zum Opfer hat zu finden ist mindestens p(1p) d-1 und h öchstens p(1-p) d-1 +(1-p) D, wobei D die Hopdistanz des Angreifers ist. Beweis: 1.Fall: Der Angreifer sendet keine Pakete mit Routerinfo R o Wkeit, dass d-1 Router Routerinfo nicht überschreiben: (1-p) d-1 o Wkeit, dass Router R Routerinfo überschreibt: p 2.Fall: Der Angreifer sendet nur Pakete mit Routerinfo R o Wkeit, dass D Router Routerinfo nicht überschreiben: (1-p) D o Wkeit, dass Router R Routerinfo überschreibt: p(1-p) d-1

23 HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 23 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Konvergenz Node Sampling Theorem Die erwartete Konvergenzzeit E[T] von Node Sampling bei Wahrscheinlichkeit p>1/2 ist bei einer Angriffspfadlänge von D. Beweis: Hauptproblem: Vertauschen von Nachbarn im Angriffspfad. Methode: Geschickte Verwendung von Chernoff-Schranke: Theorem Chernoff-Schranke: Wenn X 1,..,X n unabhängige binäre Zufallsvariablen und wobei E[X i ] = μ, dann gilt Für δ 0 Für 0 δ 1

Herunterladen ppt "HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 1 Algorithm. Grundlagen des Internets 12. Mai 2003 Christian Schindelhauer Vorlesung."

Ähnliche Präsentationen

Powerpoint-Präsentation

Powerpoint-Präsentation
Routing – Routing Protokolle

Routing – Routing Protokolle
Christian Schindelhauer

Christian Schindelhauer
Christian Schindelhauer

Christian Schindelhauer
Einführung in Berechenbarkeit und Formale Sprachen

Einführung in Berechenbarkeit und Formale Sprachen
1 HEINZ NIXDORF INSTITUT Universität Paderborn Algorithmen und Komplexität Algorithmen für Peer-to-Peer-Netzwerke Sommersemester 2004 14.06.2004 9. Vorlesung.

1 HEINZ NIXDORF INSTITUT Universität Paderborn Algorithmen und Komplexität Algorithmen für Peer-to-Peer-Netzwerke Sommersemester Vorlesung.
Christian Schindelhauer

Christian Schindelhauer
HEINZ NIXDORF INSTITUT Universität Paderborn Fachbereich Mathematik/Informatik Algorithmische Probleme in Funknetzwerken XV Christian Schindelhauer

HEINZ NIXDORF INSTITUT Universität Paderborn Fachbereich Mathematik/Informatik Algorithmische Probleme in Funknetzwerken XV Christian Schindelhauer
HEINZ NIXDORF INSTITUT Universität Paderborn Fachbereich Mathematik/Informatik 1 Algorithm. Grundlagen des Internets 27. Mai 2002 Christian Schindelhauer.

HEINZ NIXDORF INSTITUT Universität Paderborn Fachbereich Mathematik/Informatik 1 Algorithm. Grundlagen des Internets 27. Mai 2002 Christian Schindelhauer.
HEINZ NIXDORF INSTITUT Universität Paderborn Fachbereich Mathematik/Informatik Algorithmische Probleme in Funknetzwerken IX Christian Schindelhauer

HEINZ NIXDORF INSTITUT Universität Paderborn Fachbereich Mathematik/Informatik Algorithmische Probleme in Funknetzwerken IX Christian Schindelhauer
HEINZ NIXDORF INSTITUT Universität Paderborn Fachbereich Mathematik/Informatik Algorithmische Probleme in Funknetzwerken X Christian Schindelhauer

HEINZ NIXDORF INSTITUT Universität Paderborn Fachbereich Mathematik/Informatik Algorithmische Probleme in Funknetzwerken X Christian Schindelhauer
HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 1 Algorithm. Grundlagen des Internets 26. Mai 2003 Christian Schindelhauer Vorlesung.

HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 1 Algorithm. Grundlagen des Internets 26. Mai 2003 Christian Schindelhauer Vorlesung.
HEINZ NIXDORF INSTITUT Universität Paderborn Fachbereich Mathematik/Informatik 1 Algorithm. Grundlagen des Internets 24. Juni 2002 Christian Schindelhauer.

HEINZ NIXDORF INSTITUT Universität Paderborn Fachbereich Mathematik/Informatik 1 Algorithm. Grundlagen des Internets 24. Juni 2002 Christian Schindelhauer.
HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 1 Algorithm. Grundlagen des Internets 30. Juni 2003 Christian Schindelhauer Vorlesung.

HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 1 Algorithm. Grundlagen des Internets 30. Juni 2003 Christian Schindelhauer Vorlesung.
HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 1 Algorithm. Grundlagen des Internets 5. Mai 2003 Christian Schindelhauer Vorlesung.

HEINZ NIXDORF INSTITUT Universität Paderborn EIM Institut für Informatik 1 Algorithm. Grundlagen des Internets 5. Mai 2003 Christian Schindelhauer Vorlesung.
HEINZ NIXDORF INSTITUT Universität Paderborn Algorithmen und Komplexität Algorithmen des Internets Sommersemester 2005 27.06.2005 11. Vorlesung Christian.

HEINZ NIXDORF INSTITUT Universität Paderborn Algorithmen und Komplexität Algorithmen des Internets Sommersemester Vorlesung Christian.
1 HEINZ NIXDORF INSTITUT Universität Paderborn Algorithmen und Komplexität Algorithmen für Peer-to-Peer-Netzwerke Sommersemester 2004 28.05.2004 6. Vorlesung.

1 HEINZ NIXDORF INSTITUT Universität Paderborn Algorithmen und Komplexität Algorithmen für Peer-to-Peer-Netzwerke Sommersemester Vorlesung.
1 HEINZ NIXDORF INSTITUT Universität Paderborn Algorithmen und Komplexität Einführung in Berechenbarkeit, Formale Sprachen und Komplexitätstheorie Wintersemester.

1 HEINZ NIXDORF INSTITUT Universität Paderborn Algorithmen und Komplexität Einführung in Berechenbarkeit, Formale Sprachen und Komplexitätstheorie Wintersemester.
1 HEINZ NIXDORF INSTITUT Universität Paderborn Algorithmen und Komplexität Algorithmen für Peer-to-Peer-Netzwerke Sommersemester 2004 30.04.2004 2. Vorlesung.

1 HEINZ NIXDORF INSTITUT Universität Paderborn Algorithmen und Komplexität Algorithmen für Peer-to-Peer-Netzwerke Sommersemester Vorlesung.
Christian Schindelhauer

Christian Schindelhauer

Ähnliche Präsentationen

Google-Anzeigen