첩 PHY ¡Covert ¡Channels: ¡ Can ¡you ¡see ¡the ¡Idles? ¡ 자 Ki ¡Suh ¡Lee ¡ Chupja ¡ Cornell ¡University ¡ ¡ Joint ¡work ¡with ¡Han ¡Wang, ¡and ¡Hakim ¡Weatherspoon ¡ ¡ 1 ¡
첩자 (chupja) ¡ 2 ¡
Network ¡Covert ¡Channels ¡ • Hiding ¡informaJon ¡ – Through ¡communicaJon ¡not ¡intended ¡for ¡data ¡transfer ¡ ¡ 3 ¡
Network ¡Covert ¡Channels ¡ • Hiding ¡informaJon ¡ – Through ¡communicaJon ¡not ¡intended ¡for ¡data ¡transfer ¡ – Using ¡legiJmate ¡packets ¡(Overt ¡channel) ¡ • Storage ¡Channels: ¡Packet ¡headers ¡ • Timing ¡Channels: ¡Arrival ¡Jmes ¡of ¡packets ¡ 4 ¡
Network ¡Covert ¡Channels ¡ • Hiding ¡informaJon ¡ – Through ¡communicaJon ¡not ¡intended ¡for ¡data ¡transfer ¡ – Using ¡legiJmate ¡packets ¡(Overt ¡channel) ¡ • Storage ¡Channels: ¡Packet ¡headers ¡ • Timing ¡Channels: ¡Arrival ¡Jmes ¡of ¡packets ¡ 5 ¡
Goals ¡of ¡Covert ¡Channels ¡ • Bandwidth ¡ – How ¡much ¡informaJon ¡can ¡be ¡delivered ¡in ¡a ¡second ¡ • Robustness ¡ – How ¡much ¡informaJon ¡can ¡be ¡delivered ¡without ¡loss ¡/ ¡error ¡ • Undetectability ¡ – How ¡well ¡communicaJon ¡is ¡hidden ¡ 6 ¡
Goals ¡of ¡Covert ¡Channels ¡ • Bandwidth ¡ – How ¡much ¡informaJon ¡can ¡be ¡delivered ¡in ¡a ¡second ¡ – 10~100s ¡bits ¡per ¡second ¡ • Robustness ¡ – How ¡much ¡informaJon ¡can ¡be ¡delivered ¡without ¡loss ¡/ ¡error ¡ – Cabuk’04, ¡Shah’06 ¡ ApplicaJon ¡ • Undetectability ¡ Transport ¡ – How ¡well ¡communicaJon ¡is ¡hidden ¡ Network ¡ – Liu’09, ¡Liu’10 ¡ Data ¡Link ¡ Physical ¡ 7 ¡
Current ¡network ¡covert ¡channels ¡ ¡ are ¡implemented ¡in ¡L3~4 ¡(TCP/IP) ¡layers ¡ ¡ and ¡are ¡ extremely ¡ slow . ¡ 8 ¡
Chupja : ¡PHY ¡Covert ¡Channel ¡ • Bandwidth ¡ – How ¡much ¡informaJon ¡can ¡be ¡delivered ¡in ¡a ¡second ¡ – 10~100s ¡bits ¡per ¡second ¡ -‑> ¡10s~100s ¡ Kilo ¡bits ¡per ¡second ¡ • Robustness ¡ – How ¡much ¡informaJon ¡can ¡be ¡delivered ¡without ¡loss ¡/ ¡error ¡ – Bit ¡Error ¡Rate ¡< ¡10% ¡ ApplicaJon ¡ • Undetectability ¡ Transport ¡ – How ¡well ¡communicaJon ¡is ¡hidden ¡ Network ¡ – Invisible ¡to ¡detecJon ¡socware ¡ Data ¡Link ¡ Physical ¡ Physical ¡ 9 ¡
Chupja ¡is ¡a ¡network ¡covert ¡channel ¡ ¡ which ¡is ¡faster ¡ than ¡priori ¡art . ¡ ¡ ¡ It ¡is ¡implemented ¡in ¡L1 ¡(PHY), ¡ ¡ robust ¡and ¡virtually ¡invisible ¡to ¡socware. ¡ 10 ¡
Outline ¡ • IntroducJon ¡ • Design ¡ • EvaluaJon ¡ • Conclusion ¡ 11 ¡
Outline ¡ • IntroducJon ¡ • Design ¡ – Threat ¡Model ¡ – 10 ¡Gigabit ¡Ethernet ¡ • EvaluaJon ¡ • Conclusion ¡ 12 ¡
Threat ¡Model ¡ ApplicaJon ¡ ApplicaJon ¡ ApplicaJon ¡ ApplicaJon ¡ Passive ¡ Adversary ¡ Transport ¡ Transport ¡ Transport ¡ Transport ¡ Commodity ¡Server ¡ Network ¡ Network ¡ Network ¡ Network ¡ Commodity ¡NIC ¡ Data ¡Link ¡ Data ¡Link ¡ Data ¡Link ¡ Data ¡Link ¡ ¡ Physical ¡ Physical ¡ Physical ¡ Physical ¡ ¡ ¡ ¡ ¡ ¡ Sender ¡ Receiver ¡ ¡ ¡ 13 ¡
10 ¡Gigabit ¡Ethernet ¡ • Idle ¡Characters ¡(/I/) ¡ ApplicaJon ¡ Transport ¡ Packet ¡i ¡ Packet ¡i+1 ¡ Packet ¡i+2 ¡ Network ¡ Data ¡Link ¡ Physical ¡ – Each ¡bit ¡is ¡~100 ¡picosecond ¡wide ¡ – 7~8 ¡bit ¡special ¡character ¡in ¡the ¡physical ¡layer ¡ ¡ – 700~800 ¡picoseconds ¡to ¡transmit ¡ – Only ¡in ¡PHY ¡ 14 ¡
Terminology ¡ • Interpacket ¡delays ¡(D) ¡and ¡gaps ¡(G) ¡ IPG ¡ Packet ¡i ¡ Packet ¡i+1 ¡ IPD ¡ • Homogeneous ¡packet ¡stream ¡ Packet ¡i ¡ Packet ¡i+1 ¡ Packet ¡i+2 ¡ – Same ¡packet ¡size, ¡ ¡ – Same ¡IPD ¡(IPG), ¡ ¡ – Same ¡desJnaJon ¡ ¡ 15 ¡
Chupja : ¡Design ¡ • Homogeneous ¡stream ¡ G ¡ G ¡ Packet ¡i ¡ IPG ¡ Packet ¡i+1 ¡ IPG ¡ Packet ¡i+2 ¡ D ¡ D ¡ • Sender ¡ G ¡-‑ ¡Ɛ ¡ G ¡+ ¡Ɛ ¡ Packet ¡i ¡ ‘0’ ¡ Packet ¡i+1 ¡ ‘1’ ¡ Packet ¡i+2 ¡ D ¡-‑ ¡Ɛ ¡ D ¡+ ¡Ɛ ¡ • Receiver ¡ ¡ ¡G i ¡ G i+1 ¡ Packet ¡i ¡ ‘0’ ¡ Packet ¡i+1 ¡ ‘1’ ¡ Packet ¡i+2 ¡ D i ¡ D i+1 ¡ 16 ¡
Chupja : ¡Design ¡ • With ¡shared ¡ G ¡ – Encoding ¡‘1’: ¡G i ¡= ¡G ¡+ ¡ε ¡ – Encoding ¡‘0’: ¡G i ¡= ¡G ¡-‑ ¡ε ¡ G ¡-‑ ¡Ɛ ¡ G ¡+ ¡Ɛ ¡ Packet ¡i ¡ ‘0’ ¡ Packet ¡i+1 ¡ ‘1’ ¡ Packet ¡i+2 ¡ D ¡-‑ ¡Ɛ ¡ D ¡+ ¡Ɛ ¡ 17 ¡
ImplementaJon ¡ • SoNIC ¡ [NSDI ¡’13] ¡ ApplicaJon ¡ Transport ¡ – Socware-‑defined ¡Network ¡Interface ¡Card ¡ Network ¡ – Allows ¡control ¡and ¡access ¡ every ¡bit ¡of ¡PHY ¡ • In ¡realJme, ¡and ¡in ¡socware ¡ ¡ Data ¡Link ¡ Physical ¡ • 50 ¡lines ¡of ¡C ¡code ¡addiJon ¡ 18 ¡
Outline ¡ • IntroducJon ¡ • Design ¡ • EvaluaJon ¡ – Bandwidth ¡ – Robustness ¡ – Undetectability ¡ • Conclusion ¡ 19 ¡
EvaluaJon ¡ • What ¡is ¡the ¡ bandwidth ¡of ¡ Chupja ? ¡ • How ¡ robust ¡is ¡ Chupja ? ¡ – Why ¡is ¡ Chupja ¡robust? ¡ • How ¡ undetectable ¡is ¡ Chupja ? ¡ 20 ¡
What ¡is ¡the ¡ bandwidth ¡of ¡ Chupja ? ¡ 21 ¡
EvaluaJon: ¡Bandwidth ¡ • Covert ¡bandwidth ¡equals ¡to ¡ packet ¡rate ¡of ¡overt ¡channel ¡ 1.E+08 ¡ Covert ¡Channel ¡Capacity ¡(bps) ¡ 1.E+07 ¡ 1.E+06 ¡ 1.E+05 ¡ 1.E+04 ¡ 64B ¡ 1518B ¡1Gbps ¡ 512B ¡ 81kbps ¡ 1.E+03 ¡ 1024B ¡ 1518B ¡ 1.E+02 ¡ 0.01 ¡ 0.1 ¡ 0.5 ¡ 1 ¡ 3 ¡ 6 ¡ 9 ¡ Overt ¡Channel ¡Throughput ¡(Gbps) ¡ 22 ¡
How ¡ robust ¡is ¡ Chupja ? ¡ ¡ 23 ¡
EvaluaJon ¡Setup ¡ • Small ¡Network ¡ • NaJonal ¡Lambda ¡Rail ¡ – Six ¡commercial ¡switches ¡ – Nine ¡rouJng ¡hops ¡ – Average ¡RTT: ¡0.154 ¡ms ¡ – Average ¡RTT: ¡67.6ms ¡ – 1~2 ¡Gbps ¡External ¡Traffic ¡ Chicaco ¡ Boston ¡ SW1 ¡ SW1 ¡ ¡ ¡ Cleveland ¡ SW2 ¡ SW2 ¡ ¡ ¡ ¡ ¡ SW3 ¡ SW4 ¡ Cornell ¡(NYC) ¡ NLR ¡(NYC) ¡ ¡ ¡ ¡ Sender ¡ Receiver ¡ Sender ¡ Receiver ¡ Cornell ¡(Ithaca) ¡ 24 ¡
EvaluaJon: ¡Robustness ¡ • Overt ¡Channel ¡at ¡1 ¡Gbps ¡(D ¡= ¡12211ns, ¡G=13738 ¡/I/s) ¡ ¡ • Covert ¡Channel ¡at ¡81 ¡kbps ¡ 0.6 ¡ ¡ Small ¡No ¡Ext. ¡ 0.5 ¡ Small ¡Ext ¡3.6G ¡ 0.4 ¡ NLR ¡ BER ¡ 0.3 ¡ 8.9% ¡ 0.2 ¡ ¡ 7.7% ¡ 2.8% ¡ 0.1 ¡ ? ¡ 0 ¡ 16 ¡ 32 ¡ 64 ¡ 128 ¡ 256 ¡ 512 ¡ 1024 ¡ 2048 ¡ 4096 ¡ Ɛ ¡(/I/s) ¡ Sender ¡ Receiver ¡ 25 ¡
EvaluaJon: ¡Robustness ¡ • Overt ¡Channel ¡at ¡1 ¡Gbps ¡(D ¡= ¡12211ns, ¡G=13738 ¡/I/s) ¡ ¡ • Covert ¡Channel ¡at ¡81 ¡kbps ¡ • Modula=ng ¡IPGS ¡at ¡1.6us ¡scale ¡(=2048 ¡/I/s) ¡ 0.6 ¡ ¡ Small ¡No ¡Ext. ¡ 0.5 ¡ Small ¡Ext ¡3.6G ¡ 0.4 ¡ NLR ¡ BER ¡ 0.3 ¡ 8.9% ¡ 0.2 ¡ ¡ 7.7% ¡ 2.8% ¡ 0.1 ¡ ? ¡ 0 ¡ 16 ¡ 32 ¡ 64 ¡ 128 ¡ 256 ¡ 512 ¡ 1024 ¡ 2048 ¡ 4096 ¡ Ɛ ¡(/I/s) ¡ Sender ¡ Receiver ¡ 26 ¡
Why ¡is ¡ Chupja ¡robust? ¡ 27 ¡
EvaluaJon: ¡Why? ¡ • Switches ¡do ¡not ¡add ¡significant ¡perturbaJons ¡to ¡IPDs ¡ • Switches ¡treat ¡‘1’s ¡and ¡‘0’s ¡as ¡ uncorrelated ¡ – Over ¡mul=ple ¡hops ¡when ¡there ¡is ¡ no ¡external ¡traffic . ¡ – With ¡external ¡traffic ¡ 28 ¡
Recommend
More recommend