1 day of crud seen at ICSI (155K times) active-connection- - - PowerPoint PPT Presentation

1 day of crud seen at icsi 155k times
SMART_READER_LITE
LIVE PREVIEW

1 day of crud seen at ICSI (155K times) active-connection- - - PowerPoint PPT Presentation

Aug 17, 2022 361 likes •488 views

1 day of crud seen at ICSI (155K times) active-connection- DNS-label-len-gt-pkt HTTP-chunked- possible-split-routing reuse multipart bad-Ident-reply DNS-label-too-long HTTP-version- SYN-after-close mismatch bad-RPC

slide-1
SLIDE 1

1 day of “crud” seen at ICSI (155K times)

active-connection- reuse DNS-label-len-gt-pkt HTTP-chunked- multipart possible-split-routing bad-Ident-reply DNS-label-too-long HTTP-version- mismatch SYN-after-close bad-RPC DNS-RR-length- mismatch illegal-%-at-end-of- URI SYN-after-reset bad-SYN-ack DNS-RR-unknown- type inappropriate-FIN SYN-inside- connection bad-TCP-header-len DNS-truncated- answer IRC-invalid-line SYN-seq-jump base64-illegal- encoding DNS-len-lt-hdr-len line-terminated-with- single-CR truncated-NTP connection-

  • riginator-SYN-ack

DNS-truncated-RR- rdlength malformed-SSH- identification unescaped-%-in-URI data-after-reset double-%-in-URI no-login-prompt unescaped-special- URI-char data-before- established excess-RPC NUL-in-line unmatched-HTTP- reply too-many-DNS- queries FIN-advanced-last- seq POP3-server- sending-client- commands window-recision DNS-label-forward- compress-offset fragment-with-DF

slide-2
SLIDE 2
slide-3
SLIDE 3
slide-4
SLIDE 4
  • Many connections have holes, but little

buffer required

slide-5
SLIDE 5
slide-6
SLIDE 6

Adversary ¡can ¡fill ¡the ¡en0re ¡buffer ¡with ¡just ¡a ¡single ¡connec0on! ¡ Policy ¡1: ¡Restrict ¡per-­‑connec0on ¡buffer ¡to ¡threshold ¡(= ¡?) ¡

slide-7
SLIDE 7

Adversary ¡can ¡fill ¡the ¡en0re ¡buffer ¡with ¡just ¡a ¡single ¡connec0on! ¡ Policy ¡1: ¡Restrict ¡per-­‑connec0on ¡buffer ¡to ¡threshold ¡(say ¡20KB) ¡

slide-8
SLIDE 8
  • Adversary ¡can ¡create ¡mul$ple ¡connec0ons ¡to ¡exhaust ¡

the ¡buffer! ¡

  • Policy ¡2: ¡ ¡ ¡Do ¡not ¡allow ¡a ¡single ¡host ¡to ¡create ¡two ¡

connec0ons ¡with ¡holes ¡

slide-9
SLIDE 9
  • Adversary ¡aGacks ¡from ¡distributed ¡hosts! ¡(zombies) ¡

– No ¡connec0on ¡can ¡be ¡isolated ¡as ¡adversary’s… ¡all ¡of ¡them ¡ look ¡good ¡

  • Policy ¡3: ¡Upon ¡buffer ¡exhaus0on ¡… ¡

– … ¡Evict ¡one ¡buffer ¡page ¡randomly ¡ ¡ ¡ ¡ ¡and ¡reallocate ¡it ¡to ¡new ¡packet ¡ – Kill ¡the ¡connec0on ¡of ¡the ¡evicted ¡page ¡(mod ¡details) ¡

  • If ¡the ¡buffer ¡is ¡large, ¡then ¡most ¡evicted ¡connec$ons ¡

belong ¡to ¡the ¡adversary ¡

– They ¡fight ¡an ¡uphill ¡baGle! ¡

slide-10
SLIDE 10
  • Suppose ¡total ¡512 ¡MB, ¡2KB ¡page, ¡25KB/conn ¡
  • Avg. Legitimate Buffer = 30 KB
slide-11
SLIDE 11