Kirin: Hitting the Internet with Millions of Distributed IPv6 Announcements

The Internet is a critical resource in the day-to-day life of billions ofusers. To support the growing number of users and their increasing demands,operators have to continuously scale their network footprint -- e.g., byjoining Internet Exchange Points -- and adopt relevant technologies -- such asIPv6. IPv6, however, has a vastly larger address space compared to itspredecessor, which allows for new kinds of attacks on the Internet routinginfrastructure. In this paper, we present Kirin: a BGP attack that sources millions of IPv6routes and distributes them via thousands of sessions across various IXPs tooverflow the memory of border routers within thousands of remote ASes. Kirin'shighly distributed nature allows it to bypass traditional route-floodingdefense mechanisms, such as per-session prefix limits or route flap damping. Weanalyze the theoretical feasibility of the attack by formulating it as aInteger Linear Programming problem, test for practical hurdles by deploying theinfrastructure required to perform a small-scale Kirin attack using 4 IXPs, andvalidate our assumptions via BGP data analysis, real-world measurements, androuter testbed experiments. Despite its low deployment cost, we find Kirincapable of injecting lethal amounts of IPv6 routes in the routers of thousandsof ASes.<br

A machine learning approach for feature selection traffic classification using security analysis

© 2018, Springer Science+Business Media, LLC, part of Springer Nature. Class imbalance has become a big problem that leads to inaccurate traffic classification. Accurate traffic classification of traffic flows helps us in security monitoring, IP management, intrusion detection, etc. To address the traffic classification problem, in literature, machine learning (ML) approaches are widely used. Therefore, in this paper, we also proposed an ML-based hybrid feature selection algorithm named WMI_AUC that make use of two metrics: weighted mutual information (WMI) metric and area under ROC curve (AUC). These metrics select effective features from a traffic flow. However, in order to select robust features from the selected features, we proposed robust features selection algorithm. The proposed approach increases the accuracy of ML classifiers and helps in detecting malicious traffic. We evaluate our work using 11 well-known ML classifiers on the different network environment traces datasets. Experimental results showed that our algorithms achieve more than 95% flow accuracy results

Tracedump : nowatorskie narzędzie typu sniffer pozwalające na zapis ruchu IP pojedynczej aplikacji

The article introduces a novel Internet diagnosis utility - an open source IP packet sniffer which captures TCP and UDP packets sent and received by a single Linux process only. Preliminary evaluation results are presented. The utility can be applied in the field of IP traffic classification.Artykuł prezentuje nowatorskie narzędzie open source służące do analizy ruchu internetowego należącego wyłacznie do jednej aplikacji działającej pod kontrola˛ systemu operacyjnego Linux. Program pozwala na zapis w postaci pliku PCAP wszystkich pakietów protokołów TCP i UDP, które zostały odebrane i wysłane przez wybraną aplikację w dowolnym momencie jej działania. W szczególności wynikowy plik PCAP zawiera wszystkie wykonane zapytania DNS. Implementacja narzędzia tego typu jest problematyczna, gdyż system Linux nie dostarcza mechanizmów śledzenia ruchu IP, które pozwalałyby na wystarczające ograniczenie zakresu monitorowanych zasobów w systemie. Z tego powodu w programie tracedump zostały zastosowane zaawansowane funkcje systemu Linux - wywołanie systemowe ptrace(2), wstrzykiwanie kodu maszynowego oraz filtry gniazd sieciowych BPF. Architektura programu oparta jest o 3 wątki - wątek śledzący otwierane porty TCP i UDP, wątek przechwytujący i filtrujący ruch IP w systemie oraz wątek wykrywający zakończone połączenia. Ponadto w artykule w sposób skrócony przedstawiono przykład praktycznego zastosowania narzędzia w celu oceny narzutu protokołu BitTorrent w sytuacji pobierania obrazu płyty CD z Internetu

O wielu sposobach klasyfikacji ruchu internetowego: krótki przegląd wybranych publikacji

Traffic classification is an important tool for network management. It reveals the source of observed network traffic and has many potential applications e.g. in Quality of Service, network security and traffic visualization. In the last decade, traffic classification evolved quickly due to the raise of peer-to-peer traffic. Nowadays, researchers still find new methods in order to withstand the rapid changes of the Internet. In this paper, we review 13 publications on traffic classification and related topics that were published during 2009-2012. We show diversify in recent algorithms and we highlight possible directions for the future research on traffic classification: relevance of multi-level classification, importance of experimental validation, and the need for common traffic datasets.Artykuł prezentuje przegląd 13 wybranych prac z dziedziny klasyfikacji ruchu internetowego pod kątem różnorodności w zastosowanych metodach. Prace zostały wybrane z najciekawszych naszym zdaniem publikacji z ostatnich kilku lat (2009-2012). W porównaniu do istniejących przeglądów literaturowych - np. [13], [14], czy [3] - niniejszy artykuł dotyczy nowszych badań, oraz wykazuje, że łączenie wielu metod klasyfikacji w jeden system może być ciekawym kierunkiem dla przyszłych badań w tej dziedzinie. Klasyfikacja ruchu internetowego polega na odgadnięciu nazwy protokołu komunikacyjnego lub aplikacji, która wygenerowała dany ciąg pakietów IR Informacja ta jest przydatna np. w zarządzaniu ruchem w sieciach internetowych, gdy potrzeba kształtować ruch w zależności od jego rodzaju. Klasyfikacja ruchu znajduje zastosowanie także w zagadnieniach sieciowych związanych z wdrażaniem zasad bezpieczeństwa (np. zakaz stosowania aplikacji Skype), monitorowaniem natężenia ruchu (np. wykrywanie ataków DoS), oraz wielu innych. Przegląd literatury został podzielony na 4 kategorie: klasyfikacja ruchu (rozdział 3.1., prace nr 16), detekcja pojedynczych aplikacji (rozdział 3.2., prace nr 7-8), metody pozyskiwania „wiedzy bazowej" (ang. ground truth, rozdział 3.3., prace nr 9-11), oraz inne (rozdział 3.4., prace nr 12 i 13). Wszystkie prace zostały podsumowane w Tabeli 3. W ostatnim rozdziale (str. 10) prezentujemy wyniki przeglądu. Pokazujemy na przykład, że istnieje wiele metod klasyfikacji, które mogą być połączone w jeden system i wzajemnie się uzupełniać - przez multiklasyfikację (ang. multi-classification] lub obsługę różnych części ruchu (np. [31] dla TCP i [15] dla UDP). Podajemy także nasze rekomendacje dotyczące walidacji metod klasyfikacji i zbierania śladów ruchu internetowego

Waterfall traffic identification: Optimizing classification cascades

The Internet transports data generated by programs which cause various phenomena in IP flows. By means of machine learning techniques, we can automatically discern between flows generated by different traffic sources and gain a more informed view of the Internet. In this paper, we optimize Waterfall, a promising architecture for cascade traffic classification. We present a new heuristic approach to optimal design of cascade classifiers. On the example of Waterfall, we show how to determine the order of modules in a cascade so that the classification speed is maximized, while keeping the number of errors and unlabeled flows at minimum. We validate our method experimentally on 4 real traffic datasets, showing significant improvements over random cascades