IP溯源技术(精选3篇)
IP溯源技术 篇1
摘要:目前的网络中拒绝服务攻击是亟待解决的难题之一, 而IP溯源是针对此类问题最佳的解决方式。该种技术能够利用路由器为中间媒介, 直接对攻击者的真实位置进行追溯, 摒除其伪造地址。文章针对目前所使用的IP溯源技术进行了分析, 比较了几种技术的优势和缺陷, 对IP溯源技术的发展予以了展望。
关键词:网络,拒绝服务,IP溯源
1 引言
在对目前网络协议标准进行制定的过程中, 设计者的设计重点在于网络体系架构上, 而一般设计者都会将端到端之间的透明性作为核心理念, 将IP网络同端实体之间相互分离, 这样在设计上将网络结构予以简化, 但是随之而来的问题也无法予以忽视。其中拒绝服务攻击是目前网络安全的威胁之一, 而IP溯源技术能有效锁定攻击源的真实位置, 推断伪造地址发来的攻击报文来自网络中的真是路线, 从而对攻击者予以定位。溯源技术能够在一定程度上震慑黑客, 迫使攻击者为了不至被追踪到而放弃攻击或者减少攻击。文章主要对DOS攻击的方式进行了论述, 并针对具有代表性的集中IP溯源技术予以分析, 对其优势以及缺陷进行了比较。
2 DOS攻击
2.1 DOS攻击概述
网络攻击中DOS攻击是最为常见的方式之一, 这种攻击方式主要通过发送数据包请求的方式使得网络中待回复信息量急剧增加, 从而耗费网络资源或者带宽, 直接性导致网络服务过载, 降低服务质量的一种方式, 由于数据包请求地址为虚假地址, 因此具有恶意性, 若数据包请求量过大, 严重者可以导致系统瘫痪, 影响系统的正常运行。而为了提高攻击质量, 多站点联合的攻击方式往往是攻击者常常选用的方式, 从而加大了受害者系统以及网络的损害程度。
2.2 常见的DOS攻击方式
2.2.1 TCP SYN attack
TCP协议中, 如果通信双方要建立连接, 必须先完成三次握手过程。如果在握手过程中, 客户端向服务端发出一个请求SYN之后, 对于服务端发出的SYN+ACK置之不理, 则服务端永远无法得到客户端的ACK包来完成三次握手, 于是服务端就会等到超时再把这个连接结束掉。攻击者利用这个特性, 在短时间内发送大量的SYN要求, 造成服务端保持的连接数达到最大限度, 无法再接收任何正常的连接请求, 从而达到拒绝服务的目的。
2.2.2 UDP Flood attack
针对使用UDP协议的服务, 由于通信双方不用事先建立连接, 因此攻击者可以发送大量的UDP封包到服务端, 并且将地址伪造成另一台服务器, 从而造成这两台服务器之间的网络流量持续不断的存在。
2.2.3 ICMP Flood attack
ICMP用来测试网络的状态, 最常用的便是ping命令。攻击者常在伪造源IP之后, 将大量的ICMP封包大量的送至服务端, 则服务器主机回应等量的ICMP封包到假造来源的IP网络上, 直接造成服务器与被伪造IP之间的网络流量大量增加, 没有多余的带宽可以让正常使用者使用。
2.2.4 ICMP Smurf Flood attack
这种攻击方式也是利用ICMP协议, 只不过把目标指向广播地址。如果攻击者在源地址中填入某个网络的广播地址, 那么被攻击者送回的响应包将发往整个子网域, 因而造成网络拥塞。
2.3 DOS攻击发展基础
据不完全统计, 拒绝服务攻击事件正在呈现逐年上升的趋势, 对其根本原因进行分析:首先DOS攻击在实施上较为简便, 网络上类似的工具种类繁多, 攻击者只需要将这些工具下载下来就能够实施攻击, 破坏受害者的系统;其次, 相比较于特权提升攻击, 该种攻击方式在攻击程序上较为简便, 不需要进行交互处理, 即无需同受害者进行沟通, 因此在攻击时能够隐藏自身原始IP, 或者伪造IP, 使得受害者无法找寻数据包来自何方, 无法采取有效的措施予以防范或者消除攻击的不利影响。并且还无法找寻到确切的攻击者, 因而无法追求责任。这也是DOS攻击难以防范的主要原因。所以对于DOS攻击者的追踪成为了当前网络安全技术发展的主要方向, 如果能够有效追溯到攻击者确切位置确定攻击者身份, 那么就能够有效约束其攻击行为, 降低拒绝服务攻击。
3 链接测试
溯源技术的基础是受害者的路由器, 这也是进行溯源的首要步骤, 通过对多数的溯源技术都是从最接近受害者的路由器开始, 对上行数据链进行逐一排查, 直到寻找到攻击源头。若检查效果理想, 那么可以逐步对该过程进行递归, 直到寻找到攻击源头位置。这种方式并非万能, 只有在攻击过程中予以使用才能够寻找到攻击源, 若是攻击为间歇性攻击或者攻击已经结束, 利用该中方式则很难进行追踪。
3.1 入流量调试
该种功能是很多路由器自身都会带有的, 这种功能能够为管理员提供数据包的过滤功能, 并决定数据包的入口点。因此IP溯源技术便可以利用这一特点, 首先受害者在遭到攻击后, 将所有攻击包标志提取出来, 通过攻击标志在上行出口段进行入流量调试, 以此确定攻击数据包来源, 并确定该入口点的上行路由器。继而在上行路由器进行进一步的入流量调试, 从而逐步的寻找到攻击源。但是这种方式对网络管理员的技术水平要求较高, 同时在网络的交流配合上也有着特定的要求, 有时甚至需要联系多个服务商, 因此从技术和时间的角度讲可行性不高。
3.2 可控洪泛法
该方法采用向连接发送大量报文 (即洪水) 来观察对攻击报文传输产生的影响。首先受攻击者需要对网络拓扑状况予以掌握, 通过上行路由或者该路由的主机发送洪水至每一个连接。缓冲区在路由器中属于共享区域, 因此若该区域负载较重, 那么报文丢失概率便会相应提升, 如此便可以通过洪水发送后的相应连接的攻击减少状况确定攻击报文的来源。
4 日志记录法
该方式主要是通过路由器中的相关日志对保温进行记录, 继而对报文传输挖掘追溯的一种方式, 这种方式的优势在于不受到攻击时间的局限, 可以再攻击结束后对攻击源进行追溯, 不具有实时性, 因此适用范围较广。但是缺陷也十分明显, 该方式需要大量的网络资源, 并且需要综合的日志量巨大, 因此路由器必须具备足够的存储空间以及相应的处理能力。
5 ICMP溯源法
该方式的在消息追踪上主要依赖于路由器的ICMP。该方法中, 路由器对报文的复制概率不高, 所以负载不会明显增加, 该方式不会占用较多的网络资源。但是, 必须要注意的是, 某些网络会自动过滤ICMP报文, 并且攻击者也会考虑到该类因素而伪造溯源保温, 并且攻击报文并非是独立的, 而是夹杂于正常报文之中的, 所以复制概率就会进一步降低, 这就降低了信息的完整性, 受害机器也需要花较长的时间来收集报文, 对于不完整的信息则无法准确地重构攻击报文的传输路径。
6 结束语
在未来一定时期内, 网络安全技术研究仍然会议IP溯源技术作为发展方向, 我国的网络溯源技术起步较晚, 还具有相当广阔的发展空间, 而我国发改委以及信息产业部等相关部门也将网络溯源技术的研究作为我国信息产业在未来15年中进行自主创新、研究的主要课题和重点。从容研究出更加有效的IP溯源技术对恶意DOS攻击予以预防, 从而有效维护网络安全, 保证信息环境的和谐稳定, 这对我国的信息技术的发展具有着重要的意义。
参考文献
[1]李德全, 徐一丁, 苏璞睿, 等.IP追踪中的自适应包标记[J].电子学报, 2004.
[2]张静, 龚俭.网络入侵追踪研究综述[J].计算机科学, 2003.
[3]严有日, 基于DDOS攻击机理的分析与防范[J].赤峰学院学报 (自然科学版) , 2009.
IP溯源技术 篇2
1. 互联网网络及I P地址安全现状
(1) IP地址管理现状。
IP地址是最基本也是最关键的互联网基础资源信息。准确掌握IP地址对开展互联网网络信息安全工作至关重要。但从目前的情况来看, 各运营企业和ISP对地址的IP规划管理存在较多的问题。大多数运营企业都没有专门的地址管理系统, 纯粹靠手工的表格维护;即使有相关的系统, 但对系统输入的信息也没能实现有效的监督管理机制。总之, 整个互联网行业的IP管理情况比较混乱。由于互联网的快速发展, 网络安全事件的增多, 互联网行业管理规范和技术手段的落后, 从而严重制约了互联网管理水平。
(2) 互联网网络安全现状。
伴随着互联网的快速发展, 新的网络攻击技术层出不穷。攻击和篡改网页的增多、僵尸网络和挂马的泛滥、网络间谍技术的增强, 众多网络问题的加剧已严重威胁到社会的安定。仅2008年的上半年, 中国大陆被篡改的网站总量就超过了2007年被篡改网页的总和, 各类网络恶意攻击也呈明显上升趋势, 并凸显目的性和趋利性。据业内报告显示, 以“制造病毒-传播病毒-盗窃帐户信息-第三方平台销赃-洗钱”为环节的黑色产业链已形成, 整体互联网网络安全形势非常严峻。
2. 基于I P溯源技术的联网用户定位技术
基于IP溯源技术的联网用户定位技术, 以IP为索引, 对包含ICP、域名在内的各类互联网基础资源信息进行收集, 主要实现了对IP资源的管理、域名和互联网接入单位的管理、对动静态IP地址的溯源。具体应用如下:
(1) 通过制定统一的接口标准, 实现与电信基础运营商的IP资源管理系统的对接, 进行IP信息的批量查询和更新, 并建立冲突检测的机制。
(2) 针对互联网网络安全事件对各基础电信运营商进行电子工单派发, 提供短信和邮件的提醒, 并进行安全事件的闭环管理。
(3) 通过该系统的建设可以为公安、安全、新闻宣传等相关单位提供更好的服务。
(4) 基于IP、域名、ICP用户等互联网基础资源, 面向基础电信运营商、ISP、IDC等互联网接入单位, 针对网络安全事件, 提供IP快速定位的解决方案。
3. 体系架构
系统应采用B/S的技术结构, 应用设计见图1所示。
4. 待解决问题
有待解决的具体问题如下:
(1) 实现跨运营商的IP溯源功能。通过制定统一的接口标准, 实现与运营商的IP资源管理系统的对接, 快速定位互联网用户。
(2) 项目基于Web Service技术, 对Web Service客户端的调用采用了授权技术。
(3) 统一的集成式IP资源管理系统。IP信息精确定位、IP地址冲突检测、统计分析等功能实现了对IP资源的综合管理。
(4) 基于IP溯源技术的联网用户快速定位技术采用XML的标准接口定义, 与外部应用系统实现无缝连接, 各应用系统只需要按照统一的XML定义, 将消息请求发到服务器端的等待队列即可。
(5) 数据交换平台。运用不同的数据抽取策略从不同的异构系统中获取数据, 并进行数据清洗, 形成统一的IP/域名资源数据库。数据交换平台是基于面向服务架构的、开放的、标准的基础技术平台, 支持业界绝大多数的开放标准。例如:XML、BPEL、XQuery、XPath、JMS、JDBC、Web Service、WSIF、JCA、WS-Security、WS-I等标准。
(6) 梳理互联网接入企业内部IP申请、分配、使用的流程, 相关使用单位可以借助系统本身对相关互联网基础资源包括IP地址、域名、用户单位进行有效管理。
(7) 对手机用户上网包括GPRS、CD-MA1X、TD、WCDMA、CDMA2000动态IP用户溯源方案, 进行了前瞻性的研究和溯源可行性验证实验。
5. 国内外厂商研究现状
美国、欧洲、加拿大和日本等国在IP地址溯源理论方面的专利数量较多, 尤其是日本。从普通相关专利的检索结果来看, 日本、韩国、美国3个国家依然占绝对数量, 其中日本最多。
从大量的资源分析来看, IP资源管理软件系统相关研究近年来已有一些团队和个人涉足, 理论研究基本成熟, 一些基于IP管理的功能相对简单的软件系统也已出现, 尤其是电信部门, 研究和开发力度比较大。但是, 基于IP溯源技术进行互联网用户的快速定位, 协助国家安全, 保护网络安全和信息安全, 从互联网行业管理和环境治理的角度来讲, 鲜有涉及。
目前多家厂商都在从事互联网基础业务系统软件的开发, 其中不乏CIS-CO、IBM、ORACLE等国际知名巨头。就IP资源管理系统来说, Cisco、华为、亚信科技、亿阳信通、电信科学研究院等多家国内外知名公司在从事IP资源系统管理软件的开发。但产品只能用于单一运营商的IP申请、分配、回收、管理工作, 或为公司本身的硬件产品开发的IP管理工具, 没有考虑到IP的使用用户。因此, 无法从根本上实现IP溯源的功能, 更不可能实现跨运营商的IP溯源。
6. 结束语
工业信息化部33号令、34号令都对互联网的安全问题给予了高度关注。根据要求, 各运营商已在建设互联网网络安全应急处理组织体系, 从人员和组织架构上提供保障, 但相应的安全管理系统和技术手段相对缺乏。
IP溯源技术 篇3
从互联网的诞生到持续发展,DDo S攻击就时刻伴随左右,成为威胁网络安全的主要因素之一,从技术角度看,只要网络系统或应用服务还存在漏洞,只要网络协议的实现还存在隐患,甚至只要提供服务的系统仍然具有网络开放的特性,DDo S攻击就会存在。尽管网络上存在大量的DDo S攻击等行为,同时又难于找到攻击者以追究其责任。正是由于拒绝服务攻击的复杂性、危害的严重性和攻击事件的频发性,使得基于DDo S攻击的IP溯源技术成为研究热点,出现了各种IP溯源技术。
2 DDo S的攻击原理
DDo S攻击是指黑客在很短的时间内从多个地方同时向网络发送大量无用请求,使受攻击服务器充斥大量要求回复的信息,消耗系统资源或网络带宽,占用和超越受攻击服务器的处理能力,导致系统或网络因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。
一个比较完善的DDo S攻击体系包括以下四个部分:攻击者、副机、肉机和受害者。攻击者为攻击的组织者和发起者,控制一台或者是多台副机,操纵整个攻击过程,它向副机发送攻击命令。副机是攻击者非法侵入并控制的主机,这些副机分别又控制了大量的肉机。副机上通过攻击者安装有特定的程序(如木马),不仅可以接受攻击者发来的特殊指令,还可以将这些命令转发到肉机上。由于攻击者隐藏在某一位置利用多个副机控制众多的肉机,因此DDo S攻击一般难以追踪到攻击源。
DDo S攻击按照攻击方式,可以分直接攻击和反弹攻击等两种攻击方式。
2.1 直接攻击
直接攻击中,攻击者向victim直接发送大量攻击包。攻击包类型可以是T CP,ICM P,UDP以及它们的组合。TCP攻击中,最常见的就是SYN泛洪攻击,发送者发送大量的TCP SYN包到victim的服务端口。如果Victim的服务端口在主动监听连接请求,V ic t im将发送一个S Y N-A C K消息作为响应。然而,由于攻击包的源地址通常是随机产生的(伪造的地址),响应消息将会被发送到网络上其他的地方而不是真正的来源,也就不会收到相应的回应消息。由于Victim在放弃前将多次重传SYN-ACK消息,而这些半连接将迅速消耗掉分配给未确定连接的内存,从而导致Victim不能接受任何新的请求。
2.2 反弹攻击
反弹攻击又称反射攻击或间接攻击,与直接攻击不同,反弹攻击多了反射器的反弹环节。中间的节点,如Web服务器、DNS服务器和路由器等,都可以称为反射器(Reflector),被无辜的用做攻击的发起者。在攻击中,攻击者或其控制下的副机不是直接向受害者发送攻击数据包,而是向第三方的反射器发送特定的数据包,再经由反射器向受害者发送攻击者所希望的数据包。攻击者以受害者的名义发送请求到反射器,发射器由于不知道请求数据包中的源地址是伪造的,因此会根据请求将相应的响应发送到受害者处,如果发射包数目足够大,就会淹没受害者的入口链路。
3 IP溯源技术
IP溯源技术就是根据攻击者发出的攻击报文在在网络中的攻击路线,确定攻击源的位置。目前IP溯源技术主要有:链路测试溯源法;登陆分析溯源法;ICMP溯源法;分组标记溯源法,路由器日志记录溯源法等等。
3.1 链路测试溯源法
链路测试溯源法是从离受害者最近的路由器开始,依次检查该路由器的所有直接上游路由器,看看攻击数据流是由哪个路由器转发过来的,然后以新的路由器为基础继续检查,直到不能继续下去为止。这种方法必须在攻击尚在继续时进行,当攻击停止后,就无法使用。此外,当有位于不同地点的多个攻击者同时对受害者实施分布式攻击时,由于一个上游路由器传来的包只构成攻击数据流的一小部分,当切断这一小部分时,对攻击效果不会有太大影响,因此,这时候链路测试的效果将不会很好。链路测试有输入调试和受控泛洪法(Controlled Flooding)两种常用的方案。
3.1.1 输入调试法
首先,受害者必须检测到攻击并能提取攻击报文的特征;然后将这些特征提交给网络管理员。网络管理员在收到请求后,会在受害者的上游路由器上安装输入调试器。输入调试器根据攻击特征判断攻击报文经过哪些路由器并从哪些物理接口进入。根据调试结果管理员能找到攻击报文经过的更上游的路由器,然后再在这些路由器上安装输入调试器,按照同样的方法逐跳回溯,直到找到攻击的来源或到达ISP的边界为止。该方法工作量大,而且需要ISP合作,ISP合作非常麻烦,需要协调。因此输入调试变得非常缓慢,甚至根本就不能完成。
3.1.2 受控泛洪法
受控泛洪法是Burch和Cheswick提出的一种追踪方法,该方法不需要网络管理员的协助,但需要受害者拥有一张预先准备好的网络拓扑图。根据这张拓扑图,受害者利用网络提供的UDP Chargen服务对其上游各条链路依次发送大量测试报文,通过观察这些链路的速率变化和丢包情况判断攻击流经过哪些链路。受控泛洪法对受害者的要求比较高,受害者不仅要预备上游拓扑图,而且要有较丰富的经验并做出准确的判断。因此,该追踪方法的准确率无法得到保证。另外,该方法只能追踪单个攻击源,而无法对具有多个攻击源的DDo S攻击进行追踪。
3.2 ICMP跟踪溯源法
基于ICMP的追踪方法主要通过路由器向受害者主动发送节点信息的方式为追踪提供信息来源,该方法的基本过程是:路由器以很低的概率(如1/20000)对转发报文进行随机采样,并产生一个特定的ICMP追踪消息((ICMP Traceback Message),该消息包含采样报文部分内容的拷贝和节点信息,然后路由器将该i Trace消息发往与采样报文相同的目的地。在泛洪式DDo S攻击下,受害者能接收到足够多i Trace消息,并根据这些消息重构攻击路径。
3.3 路由器日志记录溯源法
路由器日志记录溯源法通过将用户的网络行为信息以日志的形式记录在路由器或特定的日志数据库中,利用数据挖掘或者是数据融合技术提取出攻击信息并整理出攻击路径,这些被记录的信息可以是经过路由器的报文、报文的摘要、流信息等。要求非常大的存储空间成为日志法的最大问题。如果通过路由器的每一个数据包内容由路由器全部记录下来的话,在一分钟内,一个相当于1.25吉比特每秒的OC-192的连接就需要为它准备75G的空间,这种记录全部信息的方法要求存储空间太大,不可行,而且由于直接对报文进行日志,可能会泄露用户隐私,不够安全。Snoeren等人对早期的日志法做出了改进,提出了一种基于摘要(hash)的只记录报文摘要的IP溯源方法,该方法包括数据载荷中的前8字节数据和IP头中的不变域。由于只存储摘要,使得在单位时间内路由器需要的存储空间减少到路由器连接带宽的0.5%。总之,路由器日志记录溯源法的最大优点是追踪速度快,可以在攻击发生以后进行溯源,没有实时性要求。缺点是路由器的开销比较大,日志格式不统一,不同运营商日志无法共享,而且要求全网实施,实际可操作性不强。
4 结语
IP溯源技术是一种试图找出攻击发起端的技术。近几年来,研究人员提出了各种各样的IP溯源技术,如上面提到的链路测试溯源法;ICMP溯源法;路由器日志记录溯源法等等。但现有的IP溯源技术都不能进行真正意义上的IP溯源。因此对于IP溯源技术仍然处在一个不断探索和开发的阶段。
摘要:拒绝服务攻击已经成为威胁互联网安全的重要攻击手段,本文介绍了分布式拒绝服务(DDoS)攻击的概念,分析了DDoS攻击的原理;最后介绍了多种IP溯源技术的优缺点。
关键词:IP溯源,DoS攻击,DDoS攻击,分布式拒绝服务,网络安全
参考文献
[1]T.Baba and S.Matsuda,“Tracing Net-work Attacks to Their Sources,”IEEEInternet Computing,Vol.6,no.3,2002,PP20-26
[2]郜秋娟.利用反弹服务器进行DDoS攻击的分析与防范[J].现代电子技术,2004年,第18期.