LANDER:FRGP NTP Flow Data anon-20131201 From Predict README version: 7965, last modified: 2017-08-29. This file describes the trace dataset "FRGP_NTP_Flow_Data_anon-20131201" provided by the LANDER project. Contents • 1 LANDER Metadata • 2 Dataset Contents • 3 Dataset Generation • 4 Citation • 5 Results Using This Dataset • 6 User Annotations LANDER Metadata ┌───────────────────────────┬────────────────────────────────────────────────────────────────────────────────────┐ │ dataSetName │ FRGP_NTP_Flow_Data_anon-20131201 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ status │ usc-web-and-predict │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ shortDesc │ NTP reflection attack │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ longDesc │ 3 months of daily Network Time Protocol (NTP) traffic in the form of Argus flows. │ │ │ The IP addresses are fully anonymized using a prefix-preserving algorithm. The │ │ │ flows are on a 10Gb/s link between a regional and a content ISP. The traffic │ │ │ involves several academic and research institutions. The dataset also includes NTP │ │ │ traffic collected at a University. The dataset contains NTP DDoS reflection attack │ │ │ traffic. These attacks are triggered by the attackers via sending monlist queries │ │ │ with spoofed source IP addresses to vulnerable hosts running NTP. These vulnerable │ │ │ hosts respond with a list of last clients (up to 600), typically producing large │ │ │ replies compared to the small queries. │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ datasetClass │ Quasi-Restricted │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ commercialAllowed │ true │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ requestReviewRequired │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ productReviewRequired │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ ongoingMeasurement │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ submissionMethod │ Upload │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ collectionStartDate │ 2013-12-01 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ collectionStartTime │ 00:00:00 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ collectionEndDate │ 2014-02-28 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ collectionEndTime │ 00:00:00 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ availabilityStartDate │ 2017-08-28 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ availabilityStartTime │ 00:00:00 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ availabilityEndDate │ 2030-01-01 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ availabilityEndTime │ 00:00:00 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ anonymization │ cryptopan/full │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ archivingAllowed │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ keywords │ category:traffic-flow-data, subcategory:continuous-flow-data, DOS, Reflector │ │ │ attack, NTP │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ format │ argus │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ access │ https │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ hostName │ USC-LANDER │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ providerName │ USC │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ groupingId │ │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ groupingSummaryFlag │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ retrievalInstructions │ download │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ byteSize │ 780617646080 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ expirationDays │ 14 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ uncompressedSize │ 3579937538976 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ impactDoi │ 10.23721/109/1377045 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ useAgreement │ dua-ni-160816 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ irbRequired │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ privateAccessInstructions │ See https://ant.isi.edu/datasets/#getting-datasets for information on obtaining │ │ │ this dataset. │ │ │ See │ └───────────────────────────┴────────────────────────────────────────────────────────────────────────────────────┘ Dataset Contents FRGP_NTP_Flow_Data_anon-20131201.README.txt      copy of this README Data/     lander1-YYYY-MM         ntp-data-YYYY-MM-DD.HHMM.*.argus.gz argus files (compressed with gzip); Each file has 12 hours worth of data. Dataset Generation The dataset represents a fully anonymized--with a prefix-preserving algorithm-- real NTP traffic collected at a regional ISP and a University. Only NTP traffic was extracted from the originally captured traffic. This traffic includes both legitimate and and attack NTP traffic. The attack traffic is a result of vulnerable NTP servers responding to monlist or version queries with spoofed victims IPs. Citation If you use this trace to conduct additional research, please cite it as: FRGP (www.frgp.net) Continuous Flow Dataset, IMPACT ID: USC-LANDER/FRGP_NTP_Flow_Data_anon-20131201/rev7965 . Traces taken 2013-12-01 to 2014-02-28. Provided by the USC/LANDER project (http://www.isi.edu/ant/lander). Results Using This Dataset • Taming the 800 Pound Gorilla: The Rise and Decline of NTP DDoS Attacks by Jakub Czyz, Michael Kallitsis, Manaf Gharaibeh, Christos Papadopoulos, Michael Bailey, Manish Karir, In Proceedings of the 14th ACM SIGCOMM Conference on Internet Measurement (IMC '14), Vancouver, BC, Canada, November 2014. User Annotations Currently no annotations. Categories: • Datasets • LANDER • LANDER:Datasets • LANDER:Datasets:AddressSpace:Adaptive Probing • LANDER:Datasets:AddressSpace • LANDER:Datasets:CSU • LANDER:Datasets:CSU:FRGP