入侵源追踪(精选4篇)
入侵源追踪 篇1
随着网络的普及以及数字犯罪活动的愈演愈烈,以2001年在法国召开的第13届全球FIRST(Forum of Incident Response and Security Teams)年会为标志的网络取证研究,逐渐成为世界各国信息安全和司法领域研究与关注的焦点,它在国家安全、国家机密、商业秘密和犯罪调查方面有着重要的应用。
由于电子证据的特殊性,与传统的取证过程不同。网络取证的原则和步骤有其自身的特点,但也必须符合法学上对证据的要求,即在取证过程中要保证证据的连续性(chain of custody )、透明性、可解释性和取证过程及内容的精确性。网络取证最终任务是追查入侵者,就是当攻击正在进行时或已经结束后,根据现有的所能获得的信息来确定攻击者的位置,按照准确度的逐渐提高,可分为定位到发起攻击的网络、主机、进程、用户,从而为打击网络犯罪提供技术保证。现有的系统大都侧重于入侵攻击的发现与防范,尽管他们可以检测到大多数基于网络的攻击,但均很难提供对入侵源的追踪。如果系统无法确定攻击源的位置,也很难以从根本上防止入侵者的再次攻击,并且也无法将造成严重后果的黑客绳之以法。如果系统能够获取入侵者的真实地址,并记录有关证据,将其诉诸法律,就能够有效地威慑网络犯罪,维护网络系统的安全。
1入侵源追踪及网络取证研究现状
早在80年代初期,Anderson将入侵定义为未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。Heady认为入侵就是试图破坏资源的完整性、机密性及可用性的行为集合。Smaha从分类角度指出,入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。卡内基-梅隆大学的研究报告则将入侵定义为非法进入信息系统,包括违反信息系统的安全策略或法律保护条例的动作。综合不同安全专家的意见,作者认为,入侵是指违背访问目标的安全策略的行为,造成目标的保密性、完整性、可用性以及可控性受损。该定义把入侵与受害目标相关联,目标可以是一个大的系统或单个对象。若主体对目标操作超出了其安全策略范围,则就认为目标遭到了入侵。
入侵源定位技术按追踪的时效性分为两大类:攻击时进行定位的技术和事后定位技术。在攻击进行时才能追踪的攻击源定位技术是基于一种递归的算法:从离被攻击者最近的路由器开始,然后查找与其相邻的路由器,找到转发攻击报文的相邻路由器,再以此为基础,继续查找其相邻的路由器,直到找到攻击源或是查找到网络的边界为止。文献[1]介绍了输入调试法(input debugging , ID) ,文献[2]提出了受控的淹没法( cont rolled flooding , CF)。两种方法都必须要在攻击发生时才能工作,因而不具有事后处理能力。受控淹没法要依次对链路进行淹没测试,因而将对网络产生巨大的负载。输入调试法对转发的每个报文都做处理,路由器开销也较大。不管攻击是否完成无关,只要搜集到一定的信息就能对攻击源进行定位的方法,从而能够在攻击完成后对攻击源进行事后调查。事后的攻击源定位因为要求进行事后分析,所以必须要有攻击信息的提取、记录及保存机制,使得可以在攻击结束后根据这些信息来推导出攻击源的位置。文献[3]设计了一种路由器日志法,文献[4]提出了路径记录法。两种方法都是在攻击完成后再找出攻击路径,不能进行实时动态定位。路由器日志法需要路由器对转发报文做日志记录,将极大地降低路由器的性能。路径记录法对转发的每个报文都做处理,路由器开销也较大。
网络取证(network forensics) 是对涉及民事、刑事和管理事件而进行的对网络流量的研究,目的是保护用户和资源,防范由于持续膨胀的网络连接而产生的被非法利用、入侵以及其他犯罪行为。目前,对于网络取证系统的原理和实现还处于研究阶段。最早应用于网络取证的是IDS技术。1999年,Yuill 等人详细阐述了具有证据分析能力的入侵检测系统的使用。2004 年,Payer 提出了第一个实时入侵取证原型系统。但是,目前所做的将二者结合的工作还很有限,IDS 还没有设计出适应法律需要的入侵链获取系统。基于agent 技术,文献[5]提出了一种分布式网络取证系统框架,但该系统同时收集主机和网络数据的机制还不完善,也没有与访问控制、认证、加密以及其他安全机制,更不能准确定位入侵来源。
从司法的角度看,网络获取的证据应该满足证据的可采用性标准,即证据的客观性标准、关联性标准和合法性标准,分析现有的网络取证原型系统可以发现,还没有设计出适应法律需要的入侵链路获取系统,从而无法保证获取证据的关联性。为解决这一问题,本文提出了一种基于内容和时间特征的入侵源追踪方法。
2基于内容和时间的数据包指纹入侵追踪方法
攻击者为了避免身份的暴露,惯用的手法是首先攻破一个系统,然后使用网络跳转(HOP)的办法利用它作为平台来攻击另一个系统,很多情况下甚至经过多次跳转才到达真正的攻击目标。这种情况下,无论是目标系统的安全管理员,还是政府的安全部门,都希望能够追查到攻击者的真实来源,为入侵行为责任的判定提供保证。由于每个网络取证系统都有相应的分析系统,都会产生相应的网络取证分析记录,相关的网络取证分析记录包括日志分析记录、入侵分析记录以及应用数据还原分析记录,从网络取证分析记录中进行入侵追踪分析分为两步,首先从网络取证分析记录中找出所有包含登录信息的记录,然后根据登录信息建立登录链。
图1为基于内容和时间特征数据包指纹入侵追踪方法示意图。给定一系列的通信主机CH1, CH2,…, CHn(n>2),当攻击者顺序从CHi连接到CHi+1(i=1,2,…,n-1),称
2.1基于内容特性的数据包指纹入侵追踪
在一个入侵通信连接链中(如:Telnet,SSH),远程执行的命令穿越整个通信连接链,通过对这个通信连接链上字符出现的情况进行对比,就可以判断两个主机是否属于同一登录链。比如,从CH1执行“mount/root/java/temp”,该串字符将从CH1传输到最后一台主机,只要发现某些主机在差不多相同的时间内出现该字符串,就可初步判断这些主机属于同一个攻击通信链。
在网络取证分析时记录每个通信连接链中出现的字符序列及开始时间和结束时间。具体格式为:
基于内容特性的数据包指纹匹配问题可以被形式化的描述为:已知PAI=(pat1, pat2,…patm)为一个大小为m的内容指纹模式串集合,minlen为最短内容指纹模式串的长度,TXT [0…n-1]表示正文文本,长度为n,其中每个模式串和文本串都由字符表E中的字符组成,字符表E的大小为U。内容指纹匹配的任务是在源文本串TXT中发现所有包含于PAT中的内容指纹模式串。给定α长的字符序列X,Y,其中X的字符序列用表示X=x1 x2…xα表示,其中Y的字符序列用表示Y=y1 y2…yα表示。
令 θ(X,Y, i)=IIFundefined
只要满足undefined,就可以判断两个字符序列相同。
如果两个字符序列相同,再判断时间属性。设两个字符序列的开设结束时间分别为:StartTime1,EndTime1,StartTime2,EndTime2。只要满足|StartTime1- StartTime2|<△t AND|EndTime1- EndTime2|<△t 即可判断两个字符序列的时间相同。其中△t为一个时间误差范围,数值很小,这个误差范围与当时网络的时延情况有关。
2.2基于时间特性的数据包指纹入侵追踪
分析整个登录链中每个主机上的TCP数据包序列号和数据包被获取的时间关系,比较数据包大小随时间变化关系的方法可以用于判断主机是否属于同一个入侵攻击登录链。假设一段数据流A由n个数据包组成,将第i个数据包内容字段的最后一个字节的序列号记为ai,则第i个数据包的长度可以表示为ai-ai-1个字节。设A中第S个数据包中的时间戳t1(s)( a0
设T(h,k)=t2(bk+h)-t1((a0+h),并且d= b0-a0,m’=max{i| bi +d≤bm }
则数据流B和A之间的偏差△AB可以定义为:
undefined
给定△access,判断条件△AB<△access,一旦条件成立就可以确定两个数据流是属于同一个入侵通信连接链,其中△access是一个很小的阀值,视网络具体情况而定,可根据多次试验来确定。
2.3基于内容和时间特性的数据包指纹入侵追踪
基于内容的方法和基于时间的方法都会在一定程度上受到网络情况的影响,为使得判断更加准确,需要结合这两种方法。在网络取证分析中同时提取这两种数据包的指纹特性,并分别进行对比,只有当两个指纹都相匹配时,才认为两个TCP连接属于同一个TCP连接链,才能判断它们属于同一个入侵通信攻击连接链。
2.4网络取证追踪分析结果的知识表示
入侵追踪分析的结果是一个入侵所对应的登录链CH=
其中工IntruNO表示该电子案件中的入侵编号,该编号在整个案件中是唯一,用于唯一标志一个入侵攻击事件。
入侵追踪分析结果的一个实例如下:
< NetEvidence:IntruTraceback = (NO.876,192.168.11.11,192.168.11.181, 192.168.11.115, 192.168.11.215)>
该实例表示:在电子案件中编号为N0.876的入侵所对应的登录链是(192.168.11.11,192.168.11.181, 192.168.11.115, 192.168.11.215),即:该入侵是从192.168.11.11向192.168.11.215发起的,中间先后经过了192.168.11.181,192.168.11.115两个跳板主机。
3结束语
在判断攻击链路是否属于同一攻击路径时,最直接的依据是攻击类型、攻击发生的时间和通信的内容。属于同一攻击路径的攻击链路其攻击类型必然相同,攻击时间应比较接近,而且通信的内容应基本相同。本文设计了基于内容和时间的数据包指纹入侵追踪方法,能够较准确的定位入侵源,并记录相关证据,将其诉诸法律,能有效威慑网络犯罪。
参考文献
[1]黄步根.电子证据的收集技术.微计算机应用,2005,26(5):590~593
[2] SM Bellovin.ICMP Trace back M essage.Internet D raft:draft-bellovin-itrace-00.txt,M a.r2000.
[3]夏春和等.攻击源定问题的研究.计算机研究与发展,2003,40(7):1021~1027
[4]闫巧等.网络攻击源追踪技术的分类和展望.清华大学学报(自然科学版),2005,45(4):497~500
[5]李小勇等.可控网络攻击源追踪技术研究.计算机研究与发展,2003,40(3):808~102
[6]李焕洲等.一个基于跟踪的计算机取证过程模型.微计算机信息,2007,(12):232~233
网络入侵追踪技术的研究 篇2
互联网络面临许多威胁, 如黑客攻击、管理欠缺、网络本身的缺陷、应用软件的漏洞或后门等。入侵追踪是计算机犯罪取证的一个关键技术:网络攻击者为了避免身份暴露, 常使用网络跳转手段, 经过多个平台对目标进行攻击。入侵追踪是网络安全管理方用以调查攻击来源、最后追查攻击者身份的技术, 为入侵行为责任的判定提供依据。目前入侵事件主流发生是主动基于网络的, .NET框架是全新的跨语言软件开发平台, 顺应了当今软件工业分布式计算、面向组件、企业级应用、软件服务化、以Web为中心等大趋势。在.NET环境下使用C#编程语言便于网络环境下的各种应用实现。
1 网络入侵追踪技术综述
网络攻击和防护是相互制约、和相互促进的技术。对计算机网络 (图1) 的入侵, 现存的各种防护手段处于非常被动的地位。目前网络入侵检测机制得到大范围的研究与应用, 但是只有发现真实的攻击地址, 才能彻底免除被再次入侵的风险。并且可以通过追踪, 同样对攻击者实施更具深度的攻击。入侵追踪通常的定义为一系列主机链:M1, M2, …, Mn (n>2) , 当攻击者顺序从Mi链接到Mi+1 (I=1, 2, …, n-1) , 称M1到Mi为一个连接链, 追踪的目的是发现整个连接链或部分主机。
1.1 网络攻击常用技术
网络入侵攻击者通常只会对有特殊功能和防护薄弱易于攻击的主机进行操作。为了逃避遭受法律惩罚, 在入侵前会运用相应的匿名技术, 隐藏真实身份。在入侵之后, 会采用各种手段进行踪迹清扫。例如分布式拒绝服务攻击 (DDo S) 实施过程为: (1) 准备阶段。在互联网络上确定目标主机, 不仅具有攻击价值并且具有被攻击的漏洞。利用存在的安全漏洞实施攻击, 获取控制权, 安装相应的木马软件, 使目标主机完全可以控制在自己一方。 (2) 实施攻击。从控制主机上发出指令, 协调各从属主机在某一时间段内的数据发送数量。选择一个合适的时间, 向目标主机发送大量的数据包, 消耗目标主机所在网络的有效带宽, 将其淹没在巨量的数据流中, 使目标主机自身的数据发送受影响。从属主机上发送的网络数据流IP地址是经过伪造的。由于不需要和目标主机进行双向通信, 因此伪造的IP地址给入侵追踪带来极大的困难。事实上, 如果以信息获取为目的的网络入侵, 第二步必须慎重进行。
1.2 入侵追踪综述
入侵追踪从物理层分为基于主机的技术和基于网络的技术。对入侵数据的检测包括被动式监视、记录和比较当前所有网络通信流量和主动的定制数据包处理过程, 标记入侵数据流, 动态控制和确定入侵链两种方式。
从网络攻击事件发生以来, 各种追踪技术被不断的研究与发展。上个世纪在各个国家公开的资源中, 我们可以看到这样的时间表:1991年美国加州大学计算机系设计的分布式入侵检测系统 (DIDS) , 提供了基于主机的追踪机制。在DIDS监测下的主机能够记录用户的活动, 并且记录发往一个控制机构进行相关分析。1993年韩国汉城国立大学计算机工程系设计了直接呼叫身份系统 (CIS) , 使用分布式监测系统替代DIDS的中心, 使每一个入侵链上的主机都具备记录连接的功能。在节点查询时, 只有当所有的信息匹配时才登录到下一个主机。这两种方法都是基于主机的, 每一台入侵链上的主机都进行信息搜集用以分析入侵来源。1995年美国加州大学计算机系设计出基于网络的入侵追踪方法指纹印记 (thumbprint) , 通过监测网络流量来查明入侵链。当应用层数据发生变化时, 进一步产生了基于时间 (timing-based) 和基于逆向 (deviation-based) 的入侵追踪算法。1998年波音实验室提出了入侵检测和隔离协议 (IDIP) , 对大量的入侵数据进行追踪和进行流量协调隔离。这种方法基于节点的流量分析对数据流进行标记, 对入侵数据信息对相邻节点进行传送, 发现入侵链路。2000年北卡罗来纳州立大学计算机系提出了嵌入数字水印进行入侵追踪的方案。后两者方法是通过主动追踪的技术来完成流量分析和对比。随后的技术都是对上述技术的综合应用。
入侵追踪的难度来自于有效源地址鉴别机制, 因为TCP/IP协议的安全并未被考虑在设计中, 入侵者可以容易的采用伪造的地址或运用连接链来隐藏真实的身份。并且互联网上的主机属于不同的管理域, 要搜集有用的追踪信息只能通过行政协调, 即使协调有效, 也使得最佳追踪时间被延误。
2 细粒度.NET技术在入侵追踪平台中的应用
我们主要是在应用层进行入侵追踪技术的研究。入侵者通常使用Telnet交互式网络协议登录取一系列中间主机入侵目标系统, 对于这类追踪目标, 采用了包括用户击键时间间隔统计等方法进行入侵源的调查。随着防火墙等网络边界控制设备的普及, 限制了Telnet协议的入侵行为。利用http服务实施网络攻击可成功的绕过防火墙, 这类攻击成为另一类型的攻击趋势。在实施攻击前, 入侵者会利用http代理的形式隐藏自己的真实身份, 本文主要研究的是利用http协议和代理的入侵行为设计有效的追踪方案。
2.1 相关概念与规则
代理服务器 (Proxy) 是接收或解释客户端连接, 发起到服务器新连接的网络节点。是客户端/服务器之间的媒介。作为代理服务器能够接收和解释客户端的请求;基本功能包括:创建到服务器的新连接;接收服务器发送的响应;发出或解释服务器的响应并把响应回传给客户端。代理服务器必须实现服务器和客户端两者的功能。代理服务器的工作机制大致为:Clint需要Sever提供服务, Clint首先与Proxy连接, Proxy收到Clint的数据请求后, 与Sever建立连接, 下载Clint所请求的Sever数据到本地, 再把这个数据发送到Clint, 完成代理任务 (图2) 。
我们研究的代理为http代理和SOCKS代理。http代理是一种T C P/I P应用层上的代理, 需要有相应的协议支持。SOCKS代理为传输层代理, 直接与TCP层交互, 其代理协议灵活。SOCK V系列协议允许代理服务器完成客户端到外部的服务器连接, 对客互端的授权和认证, 完成不同安全程度的代理任务。SOCKS代理只完成数据传送, 而不涉及应用层的协议, 速度相应快一些。根据代理的工作机制, 可隐藏用户的真实I P和连接细节。同时容易对安全造成威胁的是Cookie技术。Cookie是Web服务器保存在用户硬盘上的信息, 允许同一用户保存信息, 然后再取回, 信息的片段以namevalue对的形式存放。这种功能虽然简化了用户的工作, 但是网络管理者也能准确的收集访问客户的信息。
2.2 细粒度的入侵追踪技术应用
粒度计算 (GC) 是信息处理的一种新的概念和计算范式, 覆盖了所有有关粒度的理论、方法、技术和工具的研究。我们把GC使用到网络信息分析中, 基于经验和实验的结果, 根据代理能力进行动态粒度划分。随着.NET使用范围不断扩大, 网络上的应用服务开发语言使用C#较其他语言种类的增长幅度明显最快, 因此开发基于C#的入侵追踪平台是对现存手段的补充。
在恶意网络破坏之外, 还有一些以网络信息获取为目的的攻击者, 在这个层面, 网络的安全实际就是信息安全。以http为例, 把C#木马嵌入报文, 只要通过激活功能, 就可以读取入侵者的各种往来信息, 包括IP地址、网关、DNS等, 再使用回溯手段进行追踪。追踪过程使用了1.1节所提到的一些网络弱点。由于对互联网海量数据处理, 在激活控制模块, 我们使用了粒度的处理:把文件大小、生产时间、文件名中的敏感字等因素作为粒度过滤参数, 在存储时间和计算时间范围内实现入侵数据的处理与追踪。对于特别值得关注的信息源, 专门设置更特殊的粒度处理模块, 进行各种技术难度要求的追踪。
3 结论
网络入侵者通常是一些尖端技术的掌握者, 至少有能力使用多级连接和代理等手段进行身份的掩护, 对入侵进行追踪是网络界共同的难题。基于主动的网络入侵追踪方式虽然有一些实用的工具, 但并没有公开的成果。本文从实际应用出发, 在对最新的一些网络应用技术和入侵追踪成果的研究基础上, 使用了成本低、准确性较高、简便的基于C#和Cookie漏洞及其他相关漏洞实施追踪的方案。进一步的工作是构建Honey Pot和钓鱼网络, 把主动追踪发展为使入侵者在无法察觉的条件下掉入陷阱, 从而不断获取各种各样的网络信息。
摘要:本文采用了粒度过滤机制对海量数据流做有效处理后, 再对敏感数据实现C#的追踪记录, 完成对目标控制、防范和信息获取。
关键词:入侵追踪,细粒度,C#实现
参考文献
[1]S.Snapp, DIDS-Motivation Architecture and Early Prototype[M]. Washington, D C: In Proceedings of 14th National Computer Security Conference.1991.
[2] H. Jung Caller Identification System in the Internet Environment[M].Santa Clara:Proceedings of 4th USENIX Security Symposium.1993.
[3]S. Stniford-Chen Holding Intruders Accountable on the Internet[M]. Oakland, CA: Proceedings of IEEE Symposium on Security and Privacy.1995.
[4]张静, 龚俭.网络入侵追踪研究综述[J].重庆:计算机科学.2003.
[5]A FTP proxy server developed by Java [J]. ChengDu: Applica-tion research of computers.2001.
阿什河流域重金属元素异常源追踪 篇3
丰水期悬浮物测量结果显示 (表1) :阿什河流域悬浮物中Cd含量高出其它流域3~10倍, Zn、Hg、Cu含量也明显高于其它支流。为了查明阿什河流域悬浮物中重金属元素的来源, 在枯水期对阿什河流域进行了加密测量。其工作布置为:HLJ-25号采样点位于阿什河上游, 交界镇南;HLJ-24号采样点位于阿城区上游;HLJ-23号采样点位于阿城区下游;HLJ-22号采样点位于阿什河流入哈尔滨市之前即成高子镇东约2km;HLJ-21号采样点位于哈尔滨东北郊, 阿什河入松花江前。
1 悬浮物加密测量
悬浮物加密测量结果显示 (表2) :阿什河上游交界镇南HLJ-25号采样点、阿城区上游HLJ-24号采样点悬浮物中重金属元素含量均较低, 接近或甚至低于研究区主要支流悬浮物中重金属元素的平均含量 (表1) 。
阿什河流经阿城区后,在阿城区下游 HLJ- 23 号采样点悬浮物 中 As、Hg、Cd、Zn 含量明显升高,尤以 As 含量较阿城区上游升高近 2 倍,为整个流域的最高值;
当阿什河流经哈尔滨市东北郊后,在阿什河与松花江交汇处 HLJ- 21 号采样点悬浮物中 Hg、Cd、Zn、Cu、Pb 含量显著升高,均达 到其在整个流域最高水平,其中较哈尔滨市上游 HLJ- 22 号采样点 悬浮物中 Hg 含量升高了 21.9 倍、Cd 含量升高了 2.1 倍、Zn 含量升 高了 3.1 倍、Cu 含量升高了 1.6 倍、Pb 含量升高了 1.7 倍。
由此可见,阿什河流域悬浮物中重 金属元素异常主要是由阿城区、哈尔滨 市人类生产生活活动所造成的。其中悬 浮物中的 As 主要来自阿城区,而 Hg、 Cd、Zn、Pb 等主要来自哈尔滨市。
2 水化学、底泥及水系沉积物加密测量
与悬浮物加密测量同点采集了水化学、底泥、水系沉积物样品, 测量结果显示:
2.1 水化学测量
水化学测量结果与悬浮物加密测量结果基本吻合 (表3) :当阿什河流经哈尔滨市东北郊后, 水体中Hg、Cd、Zn、Cu、Pb含量和悬浮物中含量变化一样, 都显著升高, 均达到其在整个流域的最高值, 其中Hg含量增幅最为显著, 较哈尔滨市上游HLJ-22号采样点升高了15倍, 其他元素Cd含量升高了2.8倍、Zn含量升高了6.9倍、Cu含量升高了1.9倍、Pb含量升高了3.4倍。由此可见, 阿什河出口处水体中的重金属含量也受到了哈尔滨城市的直接影响。
阿什河与松花江交汇处(哈尔滨东 北郊)HLJ- 21 号采样点水体中 Hg 含量 高达 0.1125g/L,这已超过我国《地表水 环境质量标准》(GB3838-88)的Ⅲ类限制值
单位:Hg、Cd 为 ng·g-1,其余元素为 g·g-1。m
单位:Hg、Cd 为 ng·g-1,其余元素为 g·g-1。m
m
2.2 底泥、水系沉积物测量
底泥、水系沉积物测量结果显示 (图1) :在阿城区下游HLJ-23号采样点、哈尔滨市下游HLJ-21号采样点底泥、水系沉积物中As、Hg、Cd、Zn、Cu、Pb等重金属元素具有较高的含量。这也表明, 人类活动是底泥、水系沉积物中重金属元素含量升高的主要原因。
3 结论
阿什河流域悬浮物中Hg、Cd等重金属元素异常源追踪结果表明:人类活动是造成阿什河流域悬浮物中Hg、Cd等重金属元素异常的主要原因。阿什河流域悬浮物中的As主要来自阿城区, 而Hg、Cd、Zn、Pb等主要来自哈尔滨市。
参考文献
[1]申丽敏, 张传凯, 王宏坤.松花江水系水体污染问题分析[J].黑龙江水利科技, 2007, 2 (35) :116-117.
[2]成杭新, 杨忠芳, 奚小环.长江流域沿江镉异常源追踪与定量评估的研究框架[J].地学前缘, 2005, 12 (1) :261-272.
[3]龚玲兰, 奚小双.河流重金属的分布与迁移转化研究进展[J].广东微量元素科学, 2006, 13 (11) :1-5.
[4]朱圣清, 臧小平.长江主要城市江段重金属污染状况及特征[J].人民长江, 2001, 32 (7) :23-25.
入侵源追踪 篇4
为了彻底消除DDoS,必须找到真正的攻击机器或攻击者。目前已经提出了许多DDoS的攻击源追踪方法,主要分为链路测试技术[2,3]、日志记录技术[4]、基于ICMP的技术、数据包标识技术[5,6]等几大类。其中基于数据包标识技术的攻击源追踪方法相比其它几种方法体现出了较高的灵活性、稳定性、高效性和实用性。本文对该种方法进行了研究,提出了一种改进的DDoS攻击源追踪算法,实验证明,该方法能有效地防止路由器假冒,可以减少受害者重构攻击路径时所需的数据包数,提高了追踪速度。
1 Hash签名标记方案设计
1.1 基本思想
当包经过某一路由器时,路由器按一定概率q将路由器的地址进行hash运算,然后对hash运算后的结果采用64/128位的对称密钥加密;当经过下一路由器时,下一路由器将它的IP地址作同样的hash签名后与前一路由器的hash签名值异或。因为a♁b♁a=b,所以可以将各相邻路由器的签名异或进行标记,重构时从受害端开始,逐个异或上相应的路由器的签名,即可构造出攻击路径。
1.2 Hash签名信息的存储
利用IP包的16位的标识字段来存放hash签名。现在的网络应用一般都有自动MTU协商的功能以防分段发生,因此数据包的分段是很少发生的,从而标识字段也很少使用,大约只有不到0.25%[7]的包受到分段处理,也即只有0.25%的数据包的标识字段会被采用了。因此利用标识字段不会影响到绝大多数的网络应用。16位的标识字段需要存放标记包经过的路由器数以及相邻路由器构成的边,因为经过的路由器很少有超过25跳的,因此distance字段5位的空间就够,剩下的11位存放edge字段,所以选用输出为11位的hash函数。hash签名标记信息的存储如图1所示。
1.3 Hash签名
hash签名标记,使用两个独立的具有11位输出的hash函数h和h’。当路由器向前发送包时,每个路由器以概率q对每一个包进行hash签名。如果路由器决定签名包,则先用h函数对路由器的IP地址进行编码产生11位的输出,然后用路由器的密钥对其进行加密,如果是第一个路由器,则将hash并入加密后的结果edge字段,distance字段置0,否则,将hash并入加密后的结果与包中edge字段值异或后存入edge字段,并将distance字段的值增1;如果路由器决定不对包签名时,则只令distance字段的值增1。hash签名标记算法描述如下。
在路由器Ri处的hash签名标记算法
1.4 重构
受害者使用上行路由器图Gm重构攻击路径,Gm如图2所示,D为目标机,结点Ri代表路由器,Ri前的路由器的集合为Ri的儿子,叶子Ai为潜在的攻击者,Ai到D之间的路由器序列为攻击路径,Ri和D之间的路由器数目为D到Ri的距离,虚线表示攻击路径。
从根开始进行宽度优先搜索。我们将distance=d的边字段的集合记为Ψd,distance=0时,受害者列出在Gm里离它一跳的所有路由器,并且检查哪个路由器的IP地址的hash签名与Ψ0里的边字段匹配,并将匹配的IP地址集合记为S0,也就是在重构攻击图中离受害者一跳的路由器的集合为S0。Sd表示在重构攻击图中离受害者为d+1跳的路由器的集合。然后对Ψd+1里每条边x,对Sd里的每个元素y,受害者计算z=x( hk’(y)(受害者用自己的私钥解密出经过其本身的公钥加密的密钥k)。受害者然后检查在Gm里y的任何一个孩子是否有它的IP地址的hash签名hk(Ri)=x。如果受害者找到了一个匹配的IP地址Ru,那么它将Ru加到Sd+1集合里(开始Sd+1是空)。受害者重复这个步骤,直到处理完distance个路由器,这样重构攻击图完成。
重构算法描述如下。
2 自适应Hash签名标记AHSM方案设计
2.1 基本思想
hash签名标记方案,和FMS、高级的标记方案和带认证的标记方案一样,所有的路由器在决定是否标记一个数据包时采用的概率q是固定的、统一的,一般选1d/=1/25=0.04(d为攻击路径上路由器的个数),当一个路由器标记一个数据包以后,该数据包可能被后续的路由器重新标记,使原有的标记信息被覆盖。设路由器R离受害者的距离为d,一个包在路由器R处被标记以后不再被后续路由器标记的概率为q(l-q)d-1。因此,对于到达受害者的数据包而言,它被R标记以后不再被后续路由器标记的概率为q(l-q)d-1,距离d越大,这个概率就越小。对于离攻击者最近的边,由于d值较大,数据包在到达受害者时,其中的标记信息包含该边信息的概率最小,这使得受害者必须收到较多的数据包才能获得该边的信息,所以,从总体而言,受害者需较多的数据包才能重构攻击路径。
但是,如果重构攻击路径时需要较多的数据包,则会影响受害者重构攻击路径的速度,因为要等到一定数量的包到达后才能重构出有效的攻击路径。这样就影响对攻击流的快速响应。
改变路由器的标记概率,使用可变的概率来进行标记,可以减少重构攻击路径所需的数据包数。一个直观的想法是,离攻击者越近,标记概率应越大。
假设从攻击者到受害者的距离为d(即攻击者到受害者之间经过d个路由器),从攻击者到受害者之间的路由器依次为Rl,R2,…Rd,如果每个数据包最终被哪个路由器标记的概率都是相等的(为1/d),则由coupon coellctor问题[8]知所需包数最少。
设pi为路由器Ri的标记概率
包只在第一个路由器处被标记的概率为P1(1-P2)(1-P3)…(1-Pd)=l/d,
包只在第二个路由器处被标记的概率为P2(1-P3)(1-P4)…(1-Pd)=l/d,
…….
包只在第d-1个路由器处被标记的概率为Pd-1(1-Pd)=l/d,
包只在第d个路由器处被标记的概率为
Pd=l/d,
由以上各式,可得:
Pd=1/d, pd-1=1/(d-1),
pd-2=1/(d-2),…, p2=1/2,p1=1。
当取这样的变概率时,受害端重构攻击路径所需的包的数目最小,由文献[8]可知所需的数据包平均为d(1+1/2+…+1/d)。
2.2 d值的确定
在hash签名标记方案中,有一个距离字段distance用以存放从上一次标记到当前路由器的距离。我们可以利用此距离字段,并使路由器根据此字段的值选取标记的概率。设:
(1) 从攻击者到受害端经过的路由器分别为R1,R2,R3,…,Rd;
(2) 当distance=0、1…时,路由器的标记概率分别为q0、q1…。
如果数据包尚没有被标记过,路由器对其标记的概率为q-1,数据包只有在边界路由器R1处没被标记过,因此边界路由器R1以概率q-1标记所有数据包,于是q-1=p1。当数据包到达路由器R2处,由于距离字段被R1设置为0,还没有改变过,因此R2标记数据包的概率为q0,于是有q0=p2。在R3处,数据包中的distance=0|1,distance=0说明是经R2标记,有p2;distance=1说明后者是经R1标记且未经R2标记,因被R1标记的共有p1,其中又有p1q0被R2再一次标记,因此被R1标记而未被R2标记的有p1(1-q0)。因此p3=p2q0+p1(l-q0)q1。依此类推,最后得到
Savage的FMS方案中说明采用固定概率时取概率为0.04是一个较好的选择。因此,当i较大时,我们将概率固定为0.04。由于在前面的计算中有q5<0.04,因此对于所有的i≥5,我们令qi=0.04。因此路由器根据距离字段以概率qi标记数据包,qi如下:
方案的其它部分与hash签名方法类似。
3 自适应Hash签名标记方案AHSM和已有标记方案对比
通过模拟实验发现,新的方案在误报数、重构开销以及重构攻击路径所需数据包数等几个方面的性能要优于己有的标记方案。各种标记方案实验结果如表1所示。
从表中可以看出,高级的标记方案Ⅱ具有较强的抗分布式攻击的能力,误报率低,重构开销小,重构所需的包少。如在w=3,m=6,即每个hash集合中有3个不同的hash函数,门限值为6时,能忍受1 500个分布式站点的攻击,误报数只有20。在高级的标记方案基础上的带认证的标记方案,还具有防止沦陷路由器假冒其它未沦陷路由器标记。但是自适应hash签名方案AHSM比带认证的标记方案具有更强的抗分布式攻击的能力,并且重构所需的数据包大大减少。
4 结论
DDoS追踪方法较多,本文针对已有标记方法中的固定概率引起的问题以及带认证的标记方案的不足,提出了自适应hash签名标记方案AHSM,以一个变化的概率来标记数据包,使重构攻击包时所需的数据包大大减少;采用hash签名的认证方案,防止了路由器假冒其它路由器。
摘要:依据FMS标记思想,结合密码学的数字签名方法,设计了自适应hash签名标记方案AHSM。该方案是在包经过的路由器处,路由器按一个变化的概率对包进行hash签名。采用hash签名,签名速度快、误报率低、重构开销小,实现了IP地址的防篡改和发送者的不可否认,能有效地防止路由器假冒。采用变化的概率,可以减少受害者重构攻击路径时所需的数据包数,提高了追踪速度。
关键词:网路安全,DDoS攻击,包标记,攻击源追踪
参考文献
[1] Aljifri H. IP traceback: a new denial-of-service deterrent. Security & Privacy Magazine, 2003; 1(2): 24—31
[2] Stone R. Center track: an IP overlay network for tracking DoS floods. In: Proceedings of the 2000 USEN IX Security Symposium, Denver, CO, July 2000: 199—212
[3] Buch H,Cheswick B.Tracing anonymous packets to their approxi-mate soures.Unpublished Paper,Dec 1999:219—327
[4] Sager G.Security fun with OCxmon and cflowd.http:∥caida.org/projects/NGI/content/s,2002-04-20/2002-09-10
[5] Savage S, Wetherall D. Practical network support for IP traceback. Proceedings of the 2000 A CM SIGCOMM Conference. New York: ACM Press,2000:295—306
[6] Snoeren A C,Partrdge C,Sanchez L A,et al.Hash-based IP trace-back.In:Proc ACM SIGCOMM 2001,Aug,2001:3—14
[7] Stoica I, Zhang H. Providing guaranteed services without per flow management. In: Proc ACM SIGCOMM 1999, MA, 1999: 81—94