IP溯源技术研究(1)

摘  要 拒绝服务攻击是目前最难处理的网络难题之一，研究人员对其提出了多种解决方案，其中IP溯源是比较理想的一种。IP溯源技术利用路由器作为中间媒介，可以追溯到发送带有伪造地址报文的攻击者的真实位置。本文介绍了几种常见的IP溯源技术，分析比较了它们的优缺点，并对该技术的发展提出了展望。
    关键词 IP溯源；DoS；拒绝服务
 

1  引言
    在制定目前因特网上使用的网络协议标准时，设计者把“端到端的透明性”作为互联网体系架构的核心设计理念，将互联网上通信相关的部分（IP网络）与高层应用（端实体）分离，大大简化了网络设计，但由此也带来了很多缺陷。例如与报文安全相关的服务，如可靠传输、集中控制和安全认证，都发生在进行通信的端实体上。网络报文的内容包括头信息，都是由报文的发送者自行填入，这就产生了协议漏洞：报文发送者可以填入伪造的虚假源地址。这一点往往被攻击者利用，他们可以隐藏自己的真实IP地址，冒充其它终端进行通信。DoS攻击就是利用了该协议漏洞进行攻击。
    IP溯源技术的最终目标是能够定位攻击源的位置，推断出攻击报文在网络中的穿行路线，从而找到攻击者。成熟有效的溯源技术对网络黑客有一定的震慑作用，可以迫使他们为了防止被追踪到而减少甚至停止恶意攻击行为。本文首先介绍了常见的DoS攻击方式，接着对几种有代表性的IP溯源技术进行较详细的分析探讨，并指出了它们的优缺点。
2  DoS攻击
2.1  DoS攻击简介
    DoS(Denial-of-Service)攻击，是一种常见的网络攻击行为。这种攻击通过发送带有虚假源地址的数据包请求，使网络中大量充斥待回复的信息，消耗网络的带宽或者系统资源，使网络或者系统服务负载过重，服务质量下降，直至瘫痪而停止正常服务。有时攻击者为了提高攻击的效果，往往会联合多个攻击站点向受害者发动进攻。
2.2  常见的DoS攻击方式
    1）TCP SYN attack
    TCP协议中，如果通信双方要建立连接，必须先完成三次握手过程。如果在握手过程中，客户端向服务端发出一个请求SYN之后，对于服务端发出的SYN+ACK置之不理，则服务端永远无法得到客户端的ACK包来完成三次握手，于是服务端就会等到超时再把这个连接结束掉。攻击者利用这个特性，在短时间内发送大量的SYN要求，造成服务端保持的连接数达到最大限度，无法再接收任何正常的连接请求，从而达到拒绝服务的目的。
    2）UDP Flood attack
    针对使用UDP协议的服务，由于通信双方不用事先建立连接，因此攻击者可以发送大量的UDP封包到服务端，并且将地址伪造成另一台服务器，从而造成这两台服务器之间的网络流量持续不断的存在。
    3）ICMP Flood attack
    ICMP(Intenet Control Message Protocol)用来测试网络的状态，最常用的便是ping命令。攻击者常在伪造源IP之后，将大量的ICMP封包大量的送至服务端，则服务器主机回应等量的ICMP封包到假造来源的IP网络上，直接造成服务器与被伪造IP之间的网络流量大量增加，没有多余的带宽可以让正常使用者使用。
    4）ICMP Smurf Flood attack
    这种攻击方式也是利用ICMP协议，只不过把目标指向广播地址。如果攻击者在源地址中填入某个网络的广播地址，那么被攻击者送回的响应包将发往整个子网域，因而造成网络拥塞。
2.3  DoS攻击盛行的原因
    统计表明，近年来拒绝服务攻击事件持续上升。究其原因，一方面DoS攻击极易实施，网络上存在多种方便的工具，攻击者只需下载这些工具，就可以利用它们对受害者发动攻击；另一方面，与特权提升攻击不同，DoS攻击一般不需要攻击者与受害者之间进行交互，这样攻击者就可能伪造攻击数据包中的源IP地址，使得受害者不知攻击来自于何方，从而难以采取有效的措施防范攻击或者缓解攻击所造成的影响，又难以找到攻击者，追究其责任。此外，分布式拒绝服务攻击使得多个拥有较少资源的攻击者通过协同工作可能有效的攻击资源丰富的受害者，病毒、蠕虫也加剧了DoS攻击中业已不平衡的攻击者与受害者的关系，使受害者越发处于不利地位。
    DoS的防范非常困难，如果我们能够通过有效的方法追踪到攻击者，使得攻击者能够受到法律上的和道德上的约束，则拒绝服务攻击就可以大为减少。
3  链接测试法(Link Testing)
    多数的溯源技术都是从最接近受害者的路由器开始，逐步检查上行数据链，直到找到攻击流量发起源。理想情况下，这个过程可以递归执行直到找到攻击源头。这种方法只在攻击进行的过程中有效，很难在攻击结束后或者间歇性攻击的情况下追踪。
3.1 入流量调试(Input Debugging)
    许多路由器都提供入流量调试的功能。这允许管理员在一些出口点过滤特定的数据包，并决定它们来自哪个入口点。这种特性可以被用来用IP溯源。首先受害者确定自己受到了攻击，并且能够从所有的数据包中提取出攻击包标志。通过这些标志，网络管理员在上行的出口端配置合适的入流量调试，发现攻击报文来自哪个入口点，以及与该入口点相应的上行路由器。接着在上行路由器继续入流量调试过程。该过程重复执行，直到发现攻击报文的源头。
   

共2页: 1 [2] 下一页