虚假源地址(共4篇)
虚假源地址 篇1
引言
随着网络应用服务的爆发式增长,基于各种黑客技术的网络攻击也开始大行其道,其中很多攻击是基于虚假源地址[1]的攻击。源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,给安全事件的定位和应急响应造成了很大困难。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏,对互联网的正常运行和互联网应用的推广带来很大的威胁。本文从虚假源地址过滤配置检查的现状开始分析,对虚假源地址过滤配置的核查方案加以阐释和总结,最终提供平台化系统化的集中解决方案。
1虚假源地址过滤配置的审查现状
防范互联网虚假源地址流量,避免黑客伪造源地址攻击,工业和信息化部《关于互联网虚假源地址 流量整治 工作安排 的通知 》 ( 工信保函 〔2012〕421号)对虚假源地址过滤配置的启用做了明确规定,以防止基于源地址欺骗的网络攻击行为。虚假源地址过滤配置是网络设备检查数据包源地址合法性的一种方法。其在FIB[2](Forwarding Information Base,转发信息库)表中查找该源地址是否与数据包的来源接口相匹配,如果没有匹配表项将丢弃该数据包,从而起到预防IP欺骗,特别是针对伪造IP源地址的Do S[3](Denial of Service, 拒绝服务)攻击非常有效。
现网中存在大量的网络设备需要对虚假源地址进行过滤配置,目前的技术是采用人工手动方式核查虚假源地址过滤配置,即登陆需要核查的网络设备,下载配置文件,人工逐个接口进行虚假源地址过滤配置核查,效率较低,并且容易出现错误。日常维护中也需要网络维护人员定期对虚假源地址过滤配置情况进行核查,占用了维护人员大量时间。
现有的虚假源地址过滤配置核查方法存在诸多缺点,主要问题在于:
(1)核查效率较低。
人工手动方式核查虚假源地址过滤配置,即登陆需要核查的网络设备,下载配置文件,人工逐个接口进行虚假源地址过滤配置核查,效率较低。
(2)核查准确率较低。
现网中存在大量的网络设备需要对虚假源地址进行过滤配置,日常维护中也需要网络维护人员定期对虚假源地址过滤配置情况进行核查,占用了维护人员大量时间。采用人工手动方式核查也极其容易导致判断错误,特别是在设备的接口特别多的情况下,人为的判断已经难以胜任对虚假源地址过滤配置核查要求,影响了全网从低水平、相对粗放管理模式向精准管理模式转型。
本发明对设备接口进行虚假源地址过滤配置自动核查,在系统上定制自动核查任务,定期使用创建的核查规则,自动进行对虚假源地址过滤配置核查。利用预先设置的虚假源地址过滤配置规则,对现网网络设备虚假源地址过滤配置进行自动核查, 减少了对网络维护人员技术水平的依赖,大大减轻了人工核查的工作量,提高了核查效率和准确性, 提升了网络安全运行水平。
2平台化解决方案
URPF单播反向路径转发(Unicast Reverse Path Forwarding),是网络设备检查数据包源地址合法性的一种方法。其在FIB表中查找该源地址是否与数据包的来源接口相匹配,如果没有匹配表项将丢弃该数据包,从而起到预防IP欺骗,特别是针对伪造IP源地址的拒绝服务(Do S)攻击非常有效。
如图1所示,攻击者在Router A上伪造并向Router B发送大量源地址为2.2.2.1的报文,Router B响应这些报文并向真正的“2.2.2.1”(Router C)回复报文。因此这种非法报文对Router B和Router C都造成了攻击。如果此时网络管理员错误地切断了Router C的连接,可能会导致网络业务中断甚至更严重的后果。
攻击者也可以同时伪造不同源地址的攻击报文或者同时攻击多个服务器,从而造成网络阻塞甚至网络瘫痪。
URPF可以有效防范上述攻击。一般情况下, 设备在收到报文后会根据报文的目的地址对报文进行转发或丢弃。而URPF可以在转发表中查找报文源地址对应的接口是否与报文的入接口相匹配,如果不匹配则认为源地址是伪装的并丢弃该报文,从而有效地防范网络中基于源地址欺骗的恶意攻击行为的发生。
URPF分为严格URPF和松散URPF[4],区别如下:
(1)严格URPF
不仅检查报文的源地址是否在转发表中存在, 而且检查报文的入接口与转发表是否匹配。
在一些特殊情况下(如非对称路由,即设备上行流量的入接口和下行流量的出接口不相同),严格型URPF检查会错误地丢弃非攻击报文。
(2)松散URPF
仅检查报文的源地址是否在转发表中存在,而不再检查报文的入接口与转发表是否匹配。
松散型URPF检查可以避免错误的拦截合法用户的报文,但是也容易忽略一些攻击报文。
本系统可自动化核查主流厂家不同类型网络设备的虚假源地址过滤配置的开启情况,支持自动在线检查和手动里先检查,并能对多类型网络设备的虚假源地址过滤配置进行标准化展示,从多个维度辅助管理员定位问题,加强对网络设备虚假源地址过滤配置的管理,预防网络攻击。
3系统设计与实现
平台部署设计:主要包含数据库服务器、核心/WEB服务器、Probe采集器等。
WEB服务器:提供虚假源地址过滤配置核查的图形化展示,管理搭建的WEB服务器。
核心服务器:核心服务器承担的主要功能是访问和存储网络设备的虚假源地址过滤配置信息、向probe采集器发起采集分析命令、把标准化的URPF配置开启的分析结果友好地展现给用户、并生成和导出报表供管理员参考。主要由以下5个功能模块组成:
(1)信息同步模块
负责从安全管控平台同步网络设备信息,并存入数据库服务器中。同步的信息包括设备类型、设备名称、IP地址、账号凭证等用来登录设备的信息。
(2)采集消息发送模块
当用户选定所要采集分析的网络设备之后,此模块会根据其设备类型、设备ID等信息找到对应的登录信息、设备的采集脚本信息,然后组成Probe采集器所要求的消息格式发送给对应的Probe采集器。
(3)标准化策略存储模块
Probe采集器根据核心服务器发送的设备信息,会登录设备并执行采集命令,调用自身的标准化程序,把采集的原始配置信息标准化,返回给核心服务器,此模块的功能就是把Probe采集返回的标准化数据存储到数据库中,为前台页面的展示作数据准备。
(4)数据展示模块
此模块可以把存储在数据库中的标准化策配置直观的展现给用户,并且用户可以按照一定的条件检索需的配置,比如按照开启类型、分析结果类型等。由于数据库服务器会把每次采集的结果都保存起来,因此管理员还可以查看不同时间点的URPF配置,便于比较。
(5)报表展现及报表导出模块
报表展现和导出模块提供了丰富、详实的报表功能。采集完成后点击统计按钮,可以方便的查看本次采集分析的总览信息,而且可以导出报表便于交流和传递。
数据库服务器:为中央服务器的业务提供数据存储服务。
Probe采集器:执行URPF配置采集命令获取策略原始结果并标准化的采集服务器。主要分为以下三个模块:
(1)配置采集模块
Probe采集器根据核心服务器发送的设备登录信息连接设备,执行采集命令,并把回显结果传递给配置标准化引擎。
(2)配置标准化引擎
接收由信息采集模块反馈的URPF配置原始信息,根据正则表达式和相应的规则对原始信息进行标准化,得到标准形式传递给配置核查引擎。
(3)配置核查引擎
配置核查引擎是最核心的功能模块,它对接收到的标准化配置进行核查,帮助管理员及时、高效地发现网络设备的虚假源地址过滤配置的开启情况。
4核查过程
示例图如图3所示。
步骤S301:从4A获取登录信息(帐号、密码),登录被检查设备。
步骤S302:执行脚本、获取被检查设备配置信息。
步骤S303:分离设备接口。根据不同设备的特征分隔符,把文本类型的配置文件分离成多个接口,以供下一步按接口分析URPF配置。
分离设备接口参考示例:
以interface开头,#结尾为一个interface完整声明。
步骤S304:判断接口的状态是否是开启。如: 接口配置信息中存在shutdown关键字则为关闭、存在undo shutdown[5]关键字则为开启、只有接口名称声明为关闭等。
判断过程如下:
(1)判断接口的状态是否是开启?(如:接口配置信息中存在shutdown关键字则为关闭、存在undo shutdown关键字则为开启、只有接口名称声明为关闭等),如果是,则跳转至步骤2>;如果为否,则为“不适用”;
( 2 ) 接口是否 特殊接口 ? ( 如 : 接口是NULL接口、LOOPBACK接口等均无法配置,设置为‘不适用’),如果是,则为“不适用”;如果为否,跳转至步骤3>;
(3)接口是否为二层接口?(华为交换路由通过判断存在portswitch关键行进行判断;思科交换路由通过判断存在switchport关键行进行判断, 其他类型类似),如果是,则为“不适用”;如果为否,则跳转至步骤4>;
(4)接口是否配置IP或其关联的其他接口配置IP?(接口通过关键字ip address配置其ip信息; 如自身未配置IP则判断关联接口是否配置IP;例如:在华为类型下的接口通过port default vlan、 ip-trunk、eth-trunk等关联关键字,查找到关联接口并判断关联接口是否配置ip,如果未配置ip则置为‘不适用’),如果是,跳转至步骤5>;如果为否,则为“不适用”;
(5)接口是否存在URPF配置的关键字及开启模式信息?(如:华为交换路由的接口以urpf关键字声明其urpf配置,以loose、strict关键字声明开 启模式 ; 思科交换 路由的对 应关键字 为 :unicast,rx,any),如果是,则为“合规”;如果为否,则为“不合规”;
步骤S305:生成核查报表。在最终核查报表中说明有多少个接口,符合虚假源地址过滤配置限制的有多少,并将未配置虚假源地址过滤的接口单独列出来。对于发现的未配置虚假源地址过滤的接口,用户可确认该接口是否需要配置。如果用户确认该接口不需配置虚假源地址过滤,则该接口即使未设置虚假源地址过滤,也判定为合规。
5支持类型
最近一次共检查833台设备,包含华为、思科、中兴,基本涵盖了目前的主流设备型号,其中华为755台,思科38台,中兴40台。下方表格中为确定支持的类型、型号、版本。
6应用效果
2015年4月完成虚假地址检测功能URPF启用状态自动核查功能开发部署,并在全省推广应用, 经过试用,达到了预期效果,已在全省全面推广使用。
7总结
源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,给安全事件的定位和应急响应造成了很大困难。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏,对互联网的正常运行和互联网应用的推广带来很大的威胁。配置URPF功能实现虚假地址检测,可对用户的源地址进行反查,并依据其合法性对报文进行过滤,从源头抑制攻击,保护合法用户享受服务的权利。 URPF启用状态自动核查功能减少了对网络维护人员的依赖,大大减轻了人工核查的工作量,提高了核查效率和准确性。URPF的配置及核查,满足了上级监管要求,有助于提升网络设备配置合规性, 大大提高了移动公司互联网的安全程度,从源头抑制攻击,保护合法用户享受服务的权利。这对移动公司社会形象的保持和提升,移动互联网业务的推广都具有积极的意义。
虚假源地址 篇2
随着社会信息化的进展, IPv4由于缺乏对IP源地址真实性的验证, 而容易导致分组IP源地址的伪造, 因此已经不能满足物联网可扩展性、移动性、安全性等重大的技挑战要求, 搭建一个新平台是必然趋势。IPv6是由Internet工程任务组 (IETF) 设计的下一代Internet协议 (IP) 平台, 它的目的就是取代现有的IPv4, 解决现在Internet技术挑战。随着应用的普遍, 现在互联网发展迫切需要解决IPv6源地址验证问题。
1 IPv6 源地址真实性的相关研究
IPv6源地址真实性主要包含三层含义:一是, 唯一的, 除了在一些比较特殊情形下, 例如不要求全局唯一性, 其余的IP源地址必须是全局唯一的;二是, 经授权的, IP源地址不能伪造, 必须是经互联网IP地址管理机构分配授权的;三是, 可追溯的, 这也就是说可以根据其IP源地址找到网络中转发的IP分组的所有者和位置。
1.1 预先的过滤方法
过滤是预先验证IP源地址真实性的一种方法, 在其使用中首先由管理员设置一个验证规则, 然后将其应用于路由器上对IP源地址进行过滤和分组。DPF、入口过滤、HCF以及SAVE是过滤验证比较具有代表性的几种方法。其中DPF的优势主要在于它扩大的验证规则的部署位置, 并且还支持增量部署;入口过滤需要在边界网络全局部署;SAVE的优势在于它为全网传递源地址验证规则提供了一个新的协议平台。
1.2 加密认证的方法
加密认证可分为加密和认证两个概念, 其中加密是将数据资料加密, 以避免非法用户获得加密资料, 或者即使获得也无法获取正确的资料内容, 其重点在于数据的安全性, 主要目的是防止监听攻击, 实现数据保护。身份认证的重点在于用户的真实性, 主要是用于对某个身份的真实性的判断, 只有当系统确认用户身份为正确之后, 才可以依不同的身份给予不同的权限[1]。由此可见加密和认证两者具有不同的侧重点。SPM和IPSec是加密认证的两种主要方法, 其中SPM这个解决方案是自治系统到自治系统的结构, 它所使用的密钥是单独的、临时的;而IPSec是一种端到端的方法, 并且它的大规模部署, 对全局PKI的依赖性比较强。
1.3 事后的追踪方法
追溯方法是一种事后处置的方法, 主要应用于分组转发中, 通过对网络信息传递路径的记录, 从目的端对伪造源地址分组的起源进行追踪。iT race、i Trace-CP、SPIE、DPM以及PPM是追溯主要的工作内容, 其中iT race和i Trace-CP利用ICMP消息保留路径信息, SPIE在路由器上记录路径信息, DPM和PPM直接使用IP分组记录路径信息[2]。
2 基于 SAVI 框架的 IPv6 源地址验证方案
2.1 SAVI 技术原理
IPv6地址分配有手动配置、有状态DHCPv6自动配置还有无状态自动分配这三种方式。SAVI通过监听相关协议报文的交互过程, 对如端口、MAC地址等节点可信任的信息进行提取, 并绑定anchor信息和节点源地址, 然后根据绑定信息产生对应的过滤规则, 在这个规则下执行对不匹配过滤规则报文的丢弃以及对匹配过滤规则报文的放行, 最终实现对对节点源地址合法性的检测。
2.2 SAVI 框架的结构方案
通过对SAVI技术以及物联网IP源地址的认识和分析, 我们提出新一代IP源地址验证架构方案, 这个方案共分为四个层次:首先, 为了有效从自治域发出的数据分组中的源地址的真实性和可靠性, 在自治域间采用SMA方案, 运行BUP路由协议的IPv6骨干网络采用域间源地址验证方案, 从而最终达到自治域粒度的验证级别;其次, 为了保证域内子网间主机无法互相假冒, 在自治域内采用SAVT方案, 网络运行OSFP、RIP、IS-IS等路由协议。然后, 为了保证用户身份及主机的真实性和可靠性, 在用户接人子网内采用SAVI交换机技术, 从而达到主机粒度的验证级别;最后, 为了保证物联网传感器节点IP地址的真实性和可靠性, 在物联网接人子网内采用SAVI方案, 通过可路由节点运行RPI.1等路由协议, 从而达到传感器节点粒度的验证级别[3]。
2.3 IPv6 源地址验证方案
基于SAVI的验证方案主要可以分为分布式和集中式两种类型, 其中集中式的优点在于它不会影响节点资源, 能保证接入子网IP前缀级的真实性, 但是其缺点在于它不能防止子网内部的相互仿冒, 这与我们的设计方案不符。而分布式则能够有效利用可路由节点, 并验证选择其作为第一跳接人路由节点的传感器节点的IP地址的有效性。
2.3.1 静态地址验证
对于接入子网规模比较小的物联网, 可采用节点静态地址分配的方式, 先预先配置好每个节点的位置, 然后再进行部署。其中比较常用的一种验证方法是在管理网络内增加一台地址管理服务器, 由管理员先将传感器节点的IP地址、MAC地址等配置到服务器的绑定表中, 然后发送报文请求重复检测地址, 以验证自身IP地知道额合法性, DAD-Proxy可由可路由节点充当转发给多协议网关, 经过翻译之后再转交给验证服务器, 验证服务器确认回复, 建立绑定关系, 最后经过滤表后的IP地址都可以直接发送数据分组[4]。
2.3.2 SLAAC 地址验证
传统互联网中的SLAAC地址验证需要经历终端发起NS报文、终端与IP地址进行配置以及重复地址检测这三个过程, 这种方法对资源的浪费比较多。我们在此基础上对其进行优化, 主要方法是取消第一个步骤, 这也就是说, 传感器节点在形成64位的EUI地址后直接发出DAD-NS报文, 然后之后的方式与传统场景相似[5]。通过这种方式能够有效减少资源的消耗, 并节省宽带。
3 结语
总的来说, IPv6具有高度的灵活性和安全性、可动态进行地址分配、巨大的地址空间以及完全的分布式结构等特点, 大大提升了它的价值和潜力。现在物联网IPv6源地址验证安全问题已经受到了人们的广泛关注, 并提出了一系列方式来加强地址验证的安全性和有效性。不过在实践中还存在有较多问题, 其中很多手段和机理都还需要进一步的加强研究。
摘要:IPv6作为下一代物联网IP层技术, 进一步扩大了地址空间, 并在国家政策的号召以及国家电网公司的积极响应下在电力、石油等方面获得了广泛的应用, 为智能电网与下一代互联网的深度融合探索道路、提供经验。但是其应用中仍然存在较多重大的问题, 其中最为突出的就是其安全性和真实性。当前的网络体系结构, 大多数情况下并不检查源地址, 这就导致源地址伪造事件很容易发生。本文主要分析了物联网对IPv6的需求, 总结了多种IPv6源地址验证方案, 并重点对SAVS框架下的IPv6源地址验证方案进行分析和探讨。
关键词:IPV6,地址,定义,分配,数据安全保护
参考文献
[1]邵婧, 陈越, 谭鹏许等.IPv6源地址和网络业务验证体系结构[J].计算机工程与设计, 2011, 32 (7) :2260-2262, 2266.
[2]谭鹏许, 陈越, 邵婧等.真实源地址框架下的特定源组播接收者认证[J].计算机应用研究, 2011, 28 (1) :279-281, 286.
[3]王相林, 卢庆菲.采用源地址验证选项的IPv6源地址验证研究[J].计算机应用与软件, 2010, 27 (12) :212-214.
[4]胡光武, 陈文龙, 徐恪等.一种基于IPv6的物联网分布式源地址验证方案[J].计算机学报, 2012, 35 (3) :518-528.
虚假源地址 篇3
信息隐藏技术[1]主要包括用于版权保护、认证的数字水印技术和用于保密通信的隐写技术。信息隐藏一般采用数字多媒体作为载体,如图像、音频、视频、文本等,利用人类感观系统的冗余嵌人信息。网络协议信息隐藏技术使用TCP/IP协议作为载体,利用网络协议首部语法语义的冗余,构建隐通道隐藏信息。
隐蔽通道的概念最初是由Iampson[2]提出的。Lampson将隐蔽通道定义为:在公开信道中建立的一种实现隐蔽通信的信道,它用于信息传输。隐蔽通道的存在是不可检测的。隐蔽通道是信息隐藏的一个主要分支。在信息隐藏中,通信双方在符合系统安全策略的条件下进行通信,当使用隐蔽通道时,即在合法的内容上加上无法察觉的信息,这就是隐写术。隐写术能隐蔽信息的存在,将秘密信息藏入伪装信息中,并且不对载体产生影响,因此这样就使发送方向接收方发送秘密信息成为可能。因此,隐蔽通道能确保秘密信息的安全传送。
本文对IP数据包结构和网络传输过程进行了分析,分析了当前主要的基于IP协议的隐藏方法,基于中间网络设备不关注源IP地址信息的特点,提出一种新的基于源IP地址的信息隐藏方法。该方法利用了源IP地址中的低8 bit,把隐秘信息映射到源IP地址域的低8 bit。由于中间网络设备不更改数据包的源IP地址,具有较高的安全性,鲁棒性较强,可以较好满足对隐藏信息容量有一定要求的网络安全应用。
1 基于网络协议的信息隐藏现状
基于网络协议的信息隐藏有多种分类方法[3],根据载体协议的不同,协议隐藏可以分为物理层(MAC层)、网络层(IP、IC-MP、IGMP)、传输层(TCP、UDP)、应用层隐藏。
根据隐藏方法思路的不同,协议隐藏可以分为存储型和时序型[4]。存储型隐藏通常利用协议字段的冗余嵌入隐蔽信息。时序型隐藏方法常利用一系列协议数据包的某种排序或相邻数据包到达的时间差传递秘密信息。
根据嵌入的位置,协议隐藏可分为结构型和非结构型。结构型隐藏指在协议的固定格式部分(协议首部)嵌入信息。非结构型隐藏在协议携带的数据部分嵌人信息。
根据通信网络的不同,协议隐藏又可分为局域网型、Internet型、移动网型隐藏。
基于IP协议的信息隐藏方法,是载体协议分类中的一类方法,这些方法利用IP包首部的保留比特位、特定场合不使用的比特位和一些可随机定义的比特位来隐藏信息。基于协议信息隐藏的一般过程如图1所示。
1.1 IP标识法
IP标识法[5,6]利用IP标识域(IPID)隐藏秘密信息。利用IPID实现隐蔽通道的方法比较简单,先将要传输的数据加密转换为二进制编码,依次取出7 bit二进制形成一个ASCII码,替换IPID字段的高位即可(称为ASCII填充法)。直接填充肯定会引起检测人员的怀疑,一种置乱方法是发送方先将ASCII码乘以256进行扩展[7],接收方对数据包进行监听,读取IPID字段,除以256获取隐蔽传输信息的ASCII码,从而得到隐蔽信息。
1.2 IP标志法
IP标志法[5]利用IP标志域(IPFlags)隐藏秘密信息。IP-Flags占个3个比特,在目前的协议中只有最低两位有意义。标识字段中的最低位为M(More Fragment),若M=1表示后面“还有分片”,M=0表示这己是分片数据报中的最后一个。标志字段的中间一位为D(Do not Fragment),意思是“不能分片”,只有当值D=0时才允许分片。数据包在传输过程中是否需要分片是根据网络传输设备的最大传输单元(MTU)来决定的。如果发送方已知传输过程中的MTU值,也可以使用文献[8]中介绍的方法发现MTU,设最小的MTU值为Mmin,发送方的数据包长度为m,只要满足m
1.3 IP生存时间法
IP生存时间法[9]利用IP生存时间域(IPTTL)隐藏秘密信息。IPTTL设置了数据包经过的最多路由器数。它指定了数据包的生存时间。IPTTL的初始值由源主机设置,经过一个路由器,它的值就减1,当该字段为0时,数据报就被丢弃。该字段成为隐蔽位置的原因是:①由于网络情况和路径变化频繁,该值改变不会被认为是异常。②对这个值的操作可以被认为是合法的,因为对该字段的操作可以认为是用于另外一种用途在一组拥有相同功能的服务器中找到距离源主机最近的服务器。
2 基于源IP地址的信息隐藏设计与实现
IP标识法利用IPID作为隐蔽通道进行数据传输的方法比较直接,实现起来也相对容易;IP标志法利用IPFlags中的M和D位进行数据传输的方法传输带宽比较小;IP生存时间法利用IPTTL进行数据传输,由于IPTTL每经过一个路由器值要减1,而且每一个数据包经过的路由不一定相同,IPTTL值在通信过程中减少多少不确定,因此实现比较困难。鉴于以上几种方法,本文提出一种新的基于源IP地址的信息隐藏方法,该方法利用源IP地址域的低8 bit隐藏信息,具有相对较高的传输带宽和隐蔽性。
2.1 基于源IP地址信息隐藏的研究思路
根据TCP/IP协议,在IP层的通信过程中,发送端的数据包发出后,经过网关(路由器)根据目的网络ID发送出去,中间可能经过一系列路径,到达接收端的局域网,经接收端局域网网关到达接收方。
考虑到一般局域网最小的地址范围是255个(C类地址的局域网),可以把秘密消息映射到局域网源IP地址中的最低8bit,这样构成的源IP地址仍然是合法局域网的IP地址,因此可以绕过网关的检测,避免网关把此类数据包过滤掉。而中间路径上的路由器对于通过的数据包通常不关心其来自何处,而只关心其去往何方,根据目的IP地址和路由表把数据包转发到合适的下一跳路由器。只有在中间路径上的路由器找不到目的路由或者是数据包的TTL减小为0情况下,路由器会产生丢包,此时需要用到源IP地址发送ICMP报文,但是在正常的网络通信过程中,上述情况极少发生。
考虑到数据包在传输的中间过程中路由器只关注和检测其目的IP地址,而对源IP地址则通常不予检测,因此,可以用源IP地址域来传输隐秘信息。另外,局域网源IP地址中的低8 bit的地址信息可以嵌在前面介绍的IP标识法的IPID的高8 bit,以此来确保发送方源IP地址的完整性,在接受方可以相应地恢复出数据包的源IP地址,以此来确定数据包的来源。源IP地址信息隐藏原理如图2所示。
2.2 基于源IP地址信息隐藏的实现
在发送端,需要先构造一些IP数据包,把隐秘信息映射到合法的IP地址段范围,替换载体数据包的源IP地址的低8 bit,这样的IP地址是合法的。在接收端则通过提取源IP地址域中该位置的数据,根据逆映射来恢复出隐秘信息。由于是在源IP地址里面隐藏消息,发送端需要在底层处理数据并嵌入消息,并通过底层发送函数或者直接用MAC帧发送方式把数据包发送出去。在接收端则需要自己抓包并处理,以便提取出所需要的信息。整个过程如图3所示。
发送方的操作(1)发送方将秘密信息加密,将其转化成每8 bit为一个单位长度的0、1序列的密文信息。(2)将源IP地址域的低8 bit替换标识字段的高8 bit,而标识字段的低8 bit仍然是计数器的值,这样接收方可以确定接收数据包的顺序。(3)将密文信息每8 bit为一个单位通过嵌入算法加入到IP的源IP地址字段的低8 bit。(4)将嵌入秘密信息的数据包发送出去。
接收方的操作(1)接收方对网络中传输过来的数据包进行接收。通过源IP地址域的高24 bit和标识域的高8 bit组合成发送端原始的IP地址,确定信息的来源。而通过检查接收的数据包的标识字段的低8 bit,来确定接收的数据包的顺序。(2)提取数据包源IP地址域的低8 bit,得到密文。(3)接收方从密文中解密出明文信息,从而得到发送方发送的秘密信息。
2.3 结果分析
由于路由器并不检测和校验IP数据包中的源IP地址,因此从理论上来说这种通信方式是可行的,本文通过WINPCAP方式进行过类似的通信实验,在接收端能正常接收已经改变源IP地址的数据包,从实践上验证了本文的方法。许多黑客也正是通过改变源IP来进行IP欺骗,防止追踪。捉到的数据包信息截图如图4所示。
其中阴影部分为源IP地址域信息,提取阴影部分信息中的低8 bit,将多个数据包的该部分组合成密文信息,而后对密文信息解密,得到秘密信息。试验结果分析如图5所示。
3 结论与展望
基于TCP/IP协议的信息隐藏相对于传统的信息隐藏(图像隐藏、音频隐藏、文本隐藏)方式具有更高的安全性,是一项十分具有发展前景的信息隐藏技术,它对信息安全的实现有着深远的影响。
本文通过对IP数据包的封装结构和通信过程的分析,指出改变源IP地址对IP数据包的正常传输并不产生任何影响,并提出了一种基于源IP地址的信息隐藏方法,该方法利用了源IP地址域中的最低8 bit。该方法基于中间网络设备不关注源IP地址来隐藏信息,具有较高的安全性;另外,由于中间网络设备并不更改数据包的源IP地址域,鲁棒性较强。基于源IP地址的信息隐藏方法,具有较高安全性,可以应用于秘密通信。
由于发送方与接收方进行秘密信息的传输过程中,双发不能进行其它信息的交互。进一步的考虑是:通过某种改进使得通信双方在进行秘密通信的同时还可以进行信息交互;该研究方法可以扩展应用到IPv6网络的安全协议设计中。
摘要:网络隐通道借助网络协议首部隐藏具有特殊用途的信息,可以绕过防火墙或其他入侵检测系统等安全防护系统。基于中间网络设备不关注源IP地址信息的特点,考虑到一般局域网的最小地址范围为255以内,提出一种新的基于源IP地址域的隐通道构建方法,把隐秘信息映射到源IP地址域的低8 bit,具有较高的传输带宽和隐蔽性。研究内容涉及到:源IP地址信息隐藏的研究思路,实现方法和过程描述,结果分析。并给出进一步开展工作的考虑。
关键词:信息隐藏,隐通道,网络协议,IP地址,信息安全
参考文献
[1]钮心忻,杨义先,吴志军.信息隐藏理论与关键技术研究[J].电信科学,2004.(12):28-30.
[2]Lampson B W.A note on the Confinement problem[J].Communications of the ACM,1973,16(10):613-615.
[3]杨榆,钮心忻,杨义先,等.网络协议信息隐藏技术综述[J].哈尔滨工业大学学报,2006,38:821-824.
[4]严庆,刘军,肖军模.网络隐通道的构建方法研究[J].计算机工程,2009.35(2):139-141.
[5]Murdoch S,Lewis S.Embedding covert channels into TCP/IP[C].Information Hiding Workshop.Passau,Germany:Springer Verlag,2005: 247-261.
[6]刘朝晖,孙星明.基于TCP/IP协议的信息隐藏新方法[J].计算机技术与自动化,2004.23(3):109-112.
[7]Ahsan K.Covert Channel analysis and Data Hiding in TCP/IP[D].Toronto: University of Toronto,2002.
[8]Xu Bo,Wang Jiazhen,Peng Deyun.Practical Protocol Steganography:Hiding Data in IP Header[J].Department of Computer Engineering,2007.
虚假源地址 篇4
1 策略路由
路由器的工作过程是对要转发的数据进行分析, 然后和路由表中的记录进行比对, 从而决定数据从哪个端口进行发送, 这种工作过程很大程度依赖路由表, 在路由表中的记录中, 将会包含目的网络等相关信息。策略路由的工作机制不同, 它不仅可以根据传统方式中的目的网络信息来选择路由, 还要以根据源IP地址、目的IP地址、应用、报文大小、网络协议等来选择合适的路由。网络管理员可以根据当前网络实际情况, 来指定策略路由。策略路由使用灵活, 更能适合当前复杂网络的需求。策略路由的应用能够节省费用, 还能为不同的数据流提供不同的服务质量, 从而提高网络的利用率, 平衡网络负载。
2 具体实现
2.1 网络环境
网络拓扑结构图如下图:
路由器接口信息如表1。
2.2 实际需求
在R3中使用策略路由, 源地址为192.168.4.10的数据经路由器存储转发后, 通过IP为192.168.2.1的端口, 而源地址为192.168.4.20的数据经路由器存储转发后, 通过IP为192.168.5.1的端口。
2.3 实现方法
配置R1、R2、R3接口地址从略。使用OSPF单区域, 配置路由环境, 对R1配置如下:
2.4 验证
在PC2上输入ipconfig/all查看, 得到如下信息:
当把PC2的IP进行改动后, 重复刚才的操作, 可以发现不同源的路由已经发生了改变。
3 存在问题
策略路由的优先级高于路由表, 由管理指定的策略路由往往不一定是最佳路由, 如果不充分考虑网络实际情况, 使用策略路由可能会对网络负载均衡带来负面影响, 降低网络整体性能。
4 结束语
策略路由是一种很灵活的机制, 为管理员按照实际需求指定路由提供一种灵活应用, 恰当地使用策略路由将能弥补普通路由的不足, 更有效更安全地管理网络。
摘要:文章介绍了策略路由的工作机制, 指出了策略路由在复杂网络下的应用具备了节省费用, 能为不同的数据流提供不同的服务质量, 提高网络的利用率, 平衡网络负载, 方便管理员进行管理等诸多优点。并介绍了基于源IP地址的策略路由的配置方法, 对配置进行了测试验证。
关键词:策略路由,网络安全,路由表,负载均衡,服务质量
参考文献
[1]谢希仁.计算机网络[M].4版.北京:电子工业出版社, 2003.
[2]杨家海, 任宪坤, 王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社, 2000.
[3]左锋.一种基于源地址的策略路由的实现[J].计算机与信息技术, 2008 (3) :68-69.
[4]孙鹏, 陈晓宇, 张永华, 等.多链路传输策略的研究与应用[J].电脑知识与技术, 2012 (18) :4363-4366.
[5]赵叶红.NAT环境下基于连接跟踪信息的策略路由[J].计算机应用, 2006, 26 (7) :1549-1551.