IP反向追踪技术综述

  • A+
所属分类:[开发技巧]

拒绝服务攻击(DoS)给政府部门和商业机构造成了严重的经济损失和社会威胁。IP追踪技术能够反向追踪IP数据包到它们的源头,所以是识别和阻止DoS攻击的重要一步。本文针对DoS攻击,对比分析了各个IP反向追踪方法的基本原理和优缺点。

关键词 DoS攻击 主动追踪 反应追踪

随着Internet在商业活动中的重要性不断增长,网络攻击特别是拒绝服务(DoS)攻击也在不断增加。IP追踪技术能够使受害主机的网络管理员识别发起DoS攻击的大量数据包的真正源头,对于尽快恢复正常的网络功能、阻止再次发生攻击以及最终让攻击者为此负责非常重要。仅仅识别产生攻击业务的计算机和网络似乎是一个有限目标,但是它所提供的重要线索有助于识别实际的攻击者。本文针对DoS,对比分析了现有各个IP反向追踪技术的基本原理、优缺点和局限性。

一、DoS 攻击

DoS攻击一般都默认地使用IP欺骗方式实施攻击,使网络服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止为合法用户提供正常的网络服务。大部分DDoS攻击都是间接地通过其他主机系统攻击它们的目标。一旦攻击者知道无辜用户的账号,他就能伪装成那个人实施犯罪。攻击者还可以通过获得管理特权,在任何一台计算机上创建新账号。攻击者利用窃取来的账号清洗攻击数据包:被窃取账号的主机(以下称清洗主机)接收和处理攻击主机的数据包,然后再将数据包发送给受害主机。因此,攻击者就利用清洗主机伪装了它们的身份。在DDoS 攻击中,为了提高攻击的成功率,攻击者会同时控制成百上千台清洗主机,每台清洗主机根据攻击命令向目标主机发送大量的DoS 数据包,使目标主机瘫痪。必须采取相应的措施来阻止或者减轻DoS/DDoS攻击,并对攻击做出反应。阻止或者减轻攻击效果的方法称为预防性措施,包括优化软件参数、输入过滤和速率限制。而要对攻击做出反应,则必须采用各种IP 反向追踪技术:不仅能识别攻击主机的真正IP地址,而且还可以获得产生攻击的机构信息,例如它的名称和网络管理员的E-mail地址等。

二、IP追踪方法

根据IP追踪的主动程度,可以将现有的IP追踪技术分为两大类:主动追踪和反应追踪。主动追踪技术为了追踪IP源地址,需要在传输数据包时准备一些信息,并利用这些信息识别攻击源。主动追踪方法在数据包通过网络时记录追踪信息,受害主机可以使用产生的追踪数据重建攻击路径,并最终识别攻击者。主动追踪包括数据包记录、消息传递和数据包标记。而反应追踪却是在检测到攻击之后,才开始利用各种技术从攻击目标反向追踪到攻击的发起点。必须在攻击还在实施时完成它们,否则,一旦攻击停止,反应追踪技术就会无效。输入调试和可控涌塞属于反应追踪措施。大部分反应追踪需要很大程度的ISP 合作,这样会造成大量的管理负担以及困难的法律和政策问题,因此有效的IP追踪方法应该需要最少的或者根本不需要ISP合作。

IP追踪技术的关键需求包括:

与现有网络协议的兼容;网络业务开销可以忽略;支持新增的实现;

与现有的路由器和网络结构兼容;

对付DDoS 攻击的有效性;

在时间和资源方面的最小开销;

应该不需要ISP合作;追踪的成功不应该取决于攻击的持续时间。

1、链路测试

顾名思义,链路测试(有时也称为逐段追踪)法通过测试路由器之间的网络链路来确定攻击业务源头。大部分技术从最接近受害主机的路由器开始,测试它的输入(上行)链路以确定携带业务的路由器。如果检测到了有电子欺骗的数据包(通过比较数据包的源IP地址和它的路由表信息),那么它就会登录到上一级路由器,并继续监控数据包。如果仍然检测到有电子欺骗的扩散攻击,就会登录到再上一级路由器上再次检测电子欺骗的数据包。重复执行这一过程,直到到达实际的攻击源。链路测试是反应追踪方法,要求攻击在完成追踪之前都一直存在。输入调试和受控淹没是链路测试方法的两种实现方法。

许多路由器都存在这种特性:管理员能够确定特定数据包的输入网络链路。如果路由器操作人员知道攻击业务的特定特性(称为攻击特征),那就有可能在路由器上确定输入网络链路。然后,ISP必须对连接到网络链路的上游路由器执行相同的处理过程,依次类推直到找到业务源、或者直到踪迹离开了当前ISP的界线。在后一种情况中,管理员必须联系上游ISP继续追踪过程。

这个技术的最大缺点是多个网络边界和ISP之间的通信和协作努力上的巨大管理开销,它在受害主机和ISP 方面都需要时间和人力。这些问题在DDoS 攻击中变得更加复杂,因为攻击业务可以来自属于许多不同ISP的计算机。表1说明了输入调试的优缺点。

受控淹没技术是从受害网络向上游网络段产生一个网络业务突发,并且观察这个故意产生的业务涌塞是如何影响攻击业务强度的。受害主机使用周围已知的Internet拓扑结构图,选择最接近自己的那个路由器的上游链路中的主机,对这个路由器的每个输入网络链路分别进行强行淹没。由于这些数据包同攻击者发起的数据包同时共享了路由器,因此增加了路由器丢包的可能性。受控淹没的最大问题是技术本身是一类DoS 攻击,这可能会破坏信任的上游路由器和网络上的有效业务。当然,这不适合Internet上的普遍常规应用。表2说明了受控淹没的优缺点。

2、数据包记录

确定侵犯Internet业务的真正起源的显而易见的方法是在通过Internet的关键路由器上记录数据包,然后使用数据钻取技术提取有关攻击业务源的信息。尽管这个解决方法似乎很显然,并且可以对攻击业务做出准确分析(即使在攻击已经停止之后),但是它的最大缺点是保存记录所需要的大量处理和存储能力,且保存和在ISP 之间共享这个信息的需求还存在法律及保密问题。

Alex Snoeren等提出了一个新的数据包记录和IP追踪方法,称为SPIE(Source Path Isolation Engine)。他们不是存储整个数据包,而是只在称为Bloom Filter的有效存储结构中存储它的相应固定部分的Hash 摘要。为了完成IP追踪请求,数据搜集网络和遍布不同网络的分析代理可以使用这个方法提取重要的数据包数据,并且产生合适的攻击图,从而识别攻击业务的源头。

当前基于数据包记录的追踪方法使用滑动时间窗来存储记录的数据,从而避免了在攻击正在进行时或者攻击发生后不久捕获攻击时需要过多的存储和分析需求 (因此,所需的记录数据仍然可以使用)。表3 说明了数据包记录的优缺点。

3、消息传递

2000年7月,Internet工程任务组(IETF)成立了一个工作组来开发基于iTrace方法的ICMP追踪消息。这个方法利用加载了跟踪机制的路由器(称为iTrace 路由器)以很低的概率发送一种特殊定义的ICMP数据包。

这个数据包包含局部路径信息:发送它的路由器的IP地址、前一跳和后一跳路由器的IP地址以及它的身份验证信息。

可以通过查找相应的ICMP追踪消息,并检查它的源IP地址,来识别经过的路由器。但是, 由于为每个分

历史上的今天
四月
21
  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
广告也精彩
avatar
广告也精彩

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: