Journal of KIISE:Computing Practices and Letters (한국정보과학회논문지:컴퓨팅의 실제 및 레터)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

Mtigating the IGMP Flooding Attacks for the IPTV Access Network

IPTV 접속망에서의 IGMP 플러딩 공격 효과 감소 기법

  • 김성진 (포항공과대학교 정보통신대학원) ;
  • 김유나 (포항공과대학교 컴퓨터공학과) ;
  • 김종 (포항공과대학교 컴퓨터공학과)
  • Published : 2009.12.15
Download PDF
⟨ Previous Next ⟩

Abstract

In IPTV multicast architecture, the IGMP(Internet Group Management Protocol) is used for access networks. This protocol supports the functionality of join or leave for a specific multicast channel group. But, malicious attackers can disturb legitimate users being served appropriately. By using spoofed IGMP messages, attackers can hi-jack the premium channel, wasting bandwidth and exhausting the IGMP router's resources. To prevent the message spoofing, we can introduce the packet-level authentication methods. But, it causes the additional processing overhead to an IGMP processing router, so that the router is more susceptible to the flooding attacks. In this paper, we propose the two-level authentication scheme in order to mitigate the IGMP flooding attack.

IPTV 서비스는 주로 여러 수신자에게 채널 전송이 효과적인 멀티캐스트 네트워크를 기반으로 제공된다. 수신자 측에 인접한 접속망에서는 IGMP(인터넷 그룹 관리 프로토콜)가 쓰이는데, 이는 수신자가 특정 채널 전송 중인 멀티캐스트 그룹에 가입하고 탈퇴할 수 있는 기능을 지원한다. 하지만 접속망 내부의 악의적인 공격자는 IGMP 메시지를 이용하여 정상적인 수신자의 서비스 이용에 장애를 줄 수 있다. 공격자는 IGMP 메시지를 위조하여 정상적인 수신자의 채널을 가로채거나 다수의 채널을 요청하여 접속망의 대역폭을 낭비시킬 수 있다. 또한 말단 라우터에 대량의 IGMP 메시지를 보내어 라우터의 자원을 소모하는 공격을 가할 수 있다. 메시지 위조를 방지하기 위한 대책으로 패킷 수준의 인증 기법을 도입할 수 있는데 이것은 말단 라우터에 추가적인 프로세싱 오버헤드를 발생시키므로, IGMP 플러딩 공격에 더욱 취약해질 우려가 있다. 따라서 본 논문에서는 IGMP 플러딩 공격 효과를 감소시킬 수 있도록, IGMP 패킷 속성 인증이 가능한 두 단계 인증 기법을 제안한다.

Keywords

References

  1. "Introduction to IGMP for IPTV Networks," white paper, Juniper Networks, 2007
  2. David Ramirez, “IPTV security: Protecting High Value Digital Contents,” WiIIey, pp.118-125, 2008
  3. S. Kent and R. Atkinson, "Security architecture for the internet protocol," In RFC 2401, November 1998
  4. M. G. Gouda, E. N. Elnozahy, C.-T. Huang, and T. M. McGuire, "Hop integrity in computer net-works,” IEEE/ACM Transactions on Networking, 10(3), June 2002 https://doi.org/10.1109/TNET.2002.1012363
  5. F. Zhao, Y. Shin, S.F. Wu, H. Johnson, A. Nilsson, “RBWA: An Efficient Random-bit Window-based Authentication Protocol,” GLOBECOM '03. vol.3, pp.1379-1383. 2003 https://doi.org/10.1109/GLOCOM.2003.1258464
  6. Wang, H., Bose, A., El-Gendy, M., Shin, K.G., "IP Easy-pass: a light-weight network-edge resource access control," IEEE/ACM Transactions on Net-working, 13(6), 2005 https://doi.org/10.1109/TNET.2005.860113
  7. Jae-Hyung Bae, Hong-Shik Park, Jin-Ho Hahm, “Consideration on Channel Zapping Time in IPTV Performance Monitoring,” Focus Group on IPTV, 4thFGIPTVmeeting, 2007
  8. David Ramirez, "IPTV security: Protecting High Value Digital Contents," Willey, pp.53-60, 2008
  9. C. Madson and R. Glenn, “The Use of HMAC-MD5-96 Within ESP and AN,” RFC 2403, Nov 1998
  10. R. Barbieri, D. Bruschi, and E. Rosti, “Voice over IPsec: Analysis and solutions,” In Proceedings of 18th Annual Computer Security Applications Con-ference, 2002 https://doi.org/10.1109/CSAC.2002.1176297
  11. "Random Number Generation and Testing," http://csrc.nist.gov/rng/
  12. R. L. Rivest. The RC5 encryption algorithm. LNCS (1008), 1995
  13. N. Haller, C.Metz, P. Nesser, and M. Straw, "RFC 2289 - A One-Time Password System," 1998
  14. Whitefield Diffie and Martin E. Hellman, "New directions in cryptography," IEEE Transactions on Information Theory, 22(6), 1976 https://doi.org/10.1109/TIT.1976.1055638