LANDER:FRGP SSDP Reflection DDoS Attack Traffic anon-20140930 From Predict README version: 7960, last modified: 2017-08-29. This file describes the trace dataset "FRGP_SSDP_Reflection_DDoS_Attack_Traffic_anon-20140930" provided by the LANDER project. Contents • 1 LANDER Metadata • 2 Dataset Contents • 3 Dataset Generation • 4 Citation • 5 Results Using This Dataset • 6 User Annotations LANDER Metadata ┌───────────────────────────┬────────────────────────────────────────────────────────────────────────────────────┐ │ dataSetName │ FRGP_SSDP_Reflection_DDoS_Attack_Traffic_anon-20140930 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ status │ usc-web-and-predict │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ shortDesc │ SSDP reflection attack │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ longDesc │ About 3 hours of DDoS attack traffic to a victim in the form of Argus flows. Most │ │ │ of the attack traffic is UDP Simple Service Discovery Protocol (SSDP) traffic. The │ │ │ traffic also includes ICMP and other UDP protocols traffic. The IP addresses are │ │ │ fully anonymized using a prefix-preserving algorithm. The flows are on a 10Gb/s │ │ │ link between a regional and a content ISP. These attacks are triggered by the │ │ │ attackers via UPnP/SSDP discovery requests with spoofed source IP addresses to │ │ │ vulnerable hosts running SSDP. │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ datasetClass │ Quasi-Restricted │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ commercialAllowed │ true │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ requestReviewRequired │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ productReviewRequired │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ ongoingMeasurement │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ submissionMethod │ Upload │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ collectionStartDate │ 2014-09-30 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ collectionStartTime │ 14:00:00 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ collectionEndDate │ 2014-09-30 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ collectionEndTime │ 18:00:00 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ availabilityStartDate │ 2017-08-28 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ availabilityStartTime │ 00:00:00 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ availabilityEndDate │ 2030-01-01 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ availabilityEndTime │ 00:00:00 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ anonymization │ cryptopan/full │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ archivingAllowed │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ keywords │ category:traffic-flow-data, subcategory:continuous-flow-data, DOS, Reflector │ │ │ attack, SSDP │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ format │ argus │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ access │ https │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ hostName │ USC-LANDER │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ providerName │ USC │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ groupingId │ │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ groupingSummaryFlag │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ retrievalInstructions │ download │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ byteSize │ 5362417664 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ expirationDays │ 14 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ uncompressedSize │ 26529240868 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ impactDoi │ 10.23721/109/1377046 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ useAgreement │ dua-ni-160816 │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ irbRequired │ false │ ├───────────────────────────┼────────────────────────────────────────────────────────────────────────────────────┤ │ privateAccessInstructions │ See https://ant.isi.edu/datasets/#getting-datasets for information on obtaining │ │ │ this dataset. │ │ │ See │ └───────────────────────────┴────────────────────────────────────────────────────────────────────────────────────┘ Dataset Contents FRGP_SSDP_Reflection_DDoS_Attack_Traffic_anon-20140930.README.txt      copy of this README Data/     ssdp-data-2014-10-01-14.00.00-18.00.00-UTC.0700.hzkA4UV.argus.gz argus file (compressed with gzip) Dataset Generation The dataset represents a fully anonymized---with a prefix-preserving algorithm-- real traffic collected at a regional ISP. Most of the traffic is UDP/SSDP attack traffic targeting one victim. The traffic to the target victim was extracted from the originally captured traffic during the attack period. Most of the attack traffic is a result of vulnerable hosts running SSDP and responding to queries. The traffic to the target victim also includes ICMP and UDP traffic from other ports. Citation If you use this trace to conduct additional research, please cite it as: FRGP (www.frgp.net) Continuous Flow Dataset, IMPACT ID: USC-LANDER/FRGP_SSDP_Reflection_DDoS_Attack_Traffic_anon-20140930/rev7960 . Traces taken 2014-09-30 to 2014-09-30 (14:00:00 to 18:00:00 UTC). Provided by the USC/LANDER project (http://www.isi.edu/ant/lander). Results Using This Dataset No results yet. User Annotations Currently no annotations. Categories: • Datasets • LANDER • LANDER:Datasets • LANDER:Datasets:CSU • LANDER:Datasets:CSU:FRGP