1、IP溯源技術研究摘 要 拒絕服務攻擊是目前最難處理的網絡難題之一，研究人員對其提出了多種解決方案，其中IP溯源是比較理想的一種。IP溯源技術利用路由器作為中間媒介，可以追溯到發送帶有偽造地址報文的攻擊者的真實位置。本文介紹了幾種常見的IP溯源技術，分析比較了它們的優缺點，并對該技術的發展提出了展望。 關鍵詞 IP溯源；DoS；拒絕服務1 引言 在制定目前因特網上使用的網絡協議標準時，設計者把“端到端的透明性”作為互聯網體系架構的核心設計理念，將互聯網上通信相關的部分（IP網絡）與高層應用（端實體）分離，大大簡化了網絡設計，但由此也帶來了很多缺陷。例如與報文安全相關的服務，如可靠傳輸、集中控制和

2、安全認證，都發生在進行通信的端實體上。網絡報文的內容包括頭信息，都是由報文的發送者自行填入，這就產生了協議漏洞：報文發送者可以填入偽造的虛假源地址。這一點往往被攻擊者利用，他們可以隱藏自己的真實IP地址，冒充其它終端進行通信。DoS攻擊就是利用了該協議漏洞進行攻擊。 IP溯源技術的最終目標是能夠定位攻擊源的位置，推斷出攻擊報文在網絡中的穿行路線，從而找到攻擊者。成熟有效的溯源技術對網絡黑客有一定的震懾作用，可以迫使他們為了防止被追蹤到而減少甚至停止惡意攻擊行為。本文首先介紹了常見的DoS攻擊方式，接著對幾種有代表性的IP溯源技術進行較詳細的分析探討，并指出了它們的優缺點。2 DoS攻擊2.1

3、DoS攻擊簡介 DoS(Denial-of-Service)攻擊，是一種常見的網絡攻擊行為。這種攻擊通過發送帶有虛假源地址的數據包請求，使網絡中大量充斥待回復的信息，消耗網絡的帶寬或者系統資源，使網絡或者系統服務負載過重，服務質量下降，直至癱瘓而停止正常服務。有時攻擊者為了提高攻擊的效果，往往會聯合多個攻擊站點向受害者發動進攻。2.2 常見的DoS攻擊方式 1）TCP SYN attack TCP協議中，如果通信雙方要建立連接，必須先完成三次握手過程。如果在握手過程中，客戶端向服務端發出一個請求SYN之后，對于服務端發出的SYN+ACK置之不理，則服務端永遠無法得到客戶端的ACK包來完成三次握

4、手，于是服務端就會等到超時再把這個連接結束掉。攻擊者利用這個特性，在短時間內發送大量的SYN要求，造成服務端保持的連接數達到最大限度，無法再接收任何正常的連接請求，從而達到拒絕服務的目的。 2）UDP Flood attack 針對使用UDP協議的服務，由于通信雙方不用事先建立連接，因此攻擊者可以發送大量的UDP封包到服務端，并且將地址偽造成另一臺服務器，從而造成這兩臺服務器之間的網絡流量持續不斷的存在。 3）ICMP Flood attack ICMP(Intenet Control Message Protocol)用來測試網絡的狀態，最常用的便是ping命令。攻擊者常在偽造源IP之后，將

5、大量的ICMP封包大量的送至服務端，則服務器主機回應等量的ICMP封包到假造來源的IP網絡上，直接造成服務器與被偽造IP之間的網絡流量大量增加，沒有多余的帶寬可以讓正常使用者使用。 4）ICMP Smurf Flood attack 這種攻擊方式也是利用ICMP協議，只不過把目標指向廣播地址。如果攻擊者在源地址中填入某個網絡的廣播地址，那么被攻擊者送回的響應包將發往整個子網域，因而造成網絡擁塞。2.3 DoS攻擊盛行的原因 統計表明，近年來拒絕服務攻擊事件持續上升。究其原因，一方面DoS攻擊極易實施，網絡上存在多種方便的工具，攻擊者只需下載這些工具，就可以利用它們對受害者發動攻擊；另一方面，與

6、特權提升攻擊不同，DoS攻擊一般不需要攻擊者與受害者之間進行交互，這樣攻擊者就可能偽造攻擊數據包中的源IP地址，使得受害者不知攻擊來自于何方，從而難以采取有效的措施防范攻擊或者緩解攻擊所造成的影響，又難以找到攻擊者，追究其責任。此外，分布式拒絕服務攻擊使得多個擁有較少資源的攻擊者通過協同工作可能有效的攻擊資源豐富的受害者，病毒、蠕蟲也加劇了DoS攻擊中業已不平衡的攻擊者與受害者的關系，使受害者越發處于不利地位。 DoS的防范非常困難，如果我們能夠通過有效的方法追蹤到攻擊者，使得攻擊者能夠受到法律上的和道德上的約束，則拒絕服務攻擊就可以大為減少。3 鏈接測試法(Link Testing) 多數的

7、溯源技術都是從最接近受害者的路由器開始，逐步檢查上行數據鏈，直到找到攻擊流量發起源。理想情況下，這個過程可以遞歸執行直到找到攻擊源頭。這種方法只在攻擊進行的過程中有效，很難在攻擊結束后或者間歇性攻擊的情況下追蹤。3.1 入流量調試(Input Debugging) 許多路由器都提供入流量調試的功能。這允許管理員在一些出口點過濾特定的數據包，并決定它們來自哪個入口點。這種特性可以被用來用IP溯源。首先受害者確定自己受到了攻擊，并且能夠從所有的數據包中提取出攻擊包標志。通過這些標志，網絡管理員在上行的出口端配置合適的入流量調試，發現攻擊報文來自哪個入口點，以及與該入口點相應的上行路由器。接著在上行

8、路由器繼續入流量調試過程。該過程重復執行，直到發現攻擊報文的源頭。入流量調試技術的最大弱點是管理負擔比較重，很多工作依靠手工完成。需要網絡管理人員有較高的技術水平，并能夠積極地配合和交流，甚至可能需要聯系多個網絡服務提供商(ISP)，因此需要較高的技術和大量的時間，幾乎不可能完成。3.2 可控洪泛法(Controlled Flooding) 該方法采用向連接發送大量報文(即洪水)來觀察對攻擊報文傳輸產生的影響。受害者需要首先掌握網絡的拓撲情況，強制處于上行路由的主機或者路由器向每一個連接分別發送洪水。由于路由器的緩沖區是共享的，因此來自負載較重的連接上的報文，其被丟失的概率也相應較大。這樣，通

9、過向某個連接發送“洪水”后攻擊報文減少的情況，就可以確定該連接是否傳輸了攻擊報文。 這種方法最大的缺點是本身就是一種DoS攻擊，會對一些信任路徑也進行DoS；而且要求有一個幾乎覆蓋整個網絡的拓撲圖。這種方法只對正在進行中的攻擊有效。 目前CISCO路由器的CEF(Cisco Express Forwarding)實際上就是一種鏈級測試，如果整個鏈路上都使用CISCO的路由器，并且都支持CEF，就可以追蹤到源頭。4 日志記錄法 在路由器中記錄下與報文相關的日志，然后再采用數據挖掘技術得到報文傳輸的路徑。這種方法最大的優勢在于它能夠在攻擊結束后進行追蹤，沒有實時性的要求。但它對網絡資源的需求也是巨

10、大的，它可能需要很大的日志量才能綜合出結果，因此路由器必須有足夠的處理能力和存儲日志的空間。5 ICMP溯源法 這種方法依靠路由器自身產生的ICMP追蹤消息。每個路由器都以很低的概率(例如1/20000)隨機復制某個報文的內容，附加該報文下一跳的路由信息后，將其封裝在ICMP控制報文中，發送到該報文的目的地址。受害主機負責收集這些特殊的ICMP報文，一旦收集到足夠的信息即可重構報文的傳輸路徑。 由于路由器復制報文的概率很低，因此負載不會有較大的增加，該方法對網絡資源的占用也很少。但是ICMP報文在某些網絡中會被過濾掉，攻擊者也有可能發送偽造的ICMP溯源報文，而且攻擊報文摻雜在正常報文中，被復

11、制到的概率就更低，這就降低了信息的完整性，受害機器也需要花較長的時間來收集報文，對于不完整的信息則無法準確地重構攻擊報文的傳輸路徑。6 數據包標記(marking packets) 該方法的思想與ICMP溯源法有類似之處，它是路由器在轉發報文的過程中，以一定的概率給報文做標記，標識負責轉發它的路由器信息。受害機器即可利用報文中的信息來重構它的傳輸路徑。出于避免加重路由器處理負擔的考慮，標記算法要求信息的壓縮性很強，即用最少的數據代表最多的信息。 由于數據包在途中經分段處理的情況是很少出現的(不超過0.25%)，因此IP頭中的識別號域(Identification field)便很少使用。于是S

12、avage等人建議將路徑信息嵌入到16bits的識別號域中，路由器的IP地址及另外的32bits校驗碼共64bits被分成8塊，每塊8bits，以0到7對其編號(稱為偏移)。為了順利進行路徑的重構，還需要一個距離域表示路由器到受害者之間的距離，由于路徑極少有超過25路的，因此用5bits的空間就夠了。當一個路由器標記一個數據包時，其隨機的從8個分塊中選取一塊(8bits)，連同對應的偏移(3bits)，以及距離(5bits)填入該數據包的標記域(即識別號域)中。當路由器選擇不標記一個數據包時，它先檢查距離域的值是否為0，如果是，則把自己的與標記域中偏移量對應的分塊與包中已有的分塊異或后再填入原

13、有的位置，然后把距離增1；如果距離不是0，則它只需把距離增1。這樣一來，數據包中的標記信息實際上是兩個相鄰路由器之間的連接信息，這個方案中，至少需要8個數據包才能傳送一個路由器的完整信息。 其它的標記方案與上面的原理類似。有的標記方法8個分塊不再是IP地址和檢驗碼，而是IP地址的8個不同的hash值(共有8個不同的hash函數)。 以上的標記方案，所有的路由器在決定是否標記一個數據包所采用的概率P是固定的、統一的，一般選0.04。一個路由器標記一個包之后，該數據包可能被后續的路由器重新標記，使原有的標記信息被覆蓋。因此到達受害者的數據包，其中的標記信息包含離攻擊者最近的路由器信息的可能性最小。

14、這使得受害者必須收集較多的包才能獲得該路由器的信息。因此有的研究者提出了自適應包標記的方案。利用包標記方案中的距離域，路由器根據此域的值決定標記的概率，以期收集最少的包就可以重構攻擊的路徑。 在實驗室條件下，該方法獲得了不錯的效果。在實際應用中，需要路由器廠商和因特網服務提供商的支持。該方法在重構攻擊路徑時，需要網絡拓撲的信息。7 結束語 通過以上的比較可以看出，ICMP溯源法和標記報文法對網絡負擔、管理負擔和路由器負載的影響比較小，可以進行分布式追蹤和攻擊結束后追蹤，從整體性能上優于其它的追蹤方法。目前的溯源技術還只是限于小范圍的實驗性信息溯源，全網大范圍的溯源技術研究尚處于起步階段。用戶很

15、容易偽造自己的IP地址、大量動態IP地址和私有IP地址的使用、設備很少能長時間保存日志等不利因素，使得溯源時查找特定時間的特定地址租用者比較困難。 IP溯源技術是當前和未來一段時間的網絡研究的熱點和難點問題，信息產業部、科技部、國家發改委共同制定的我們信息產業擁有自主知識產權的關鍵技術和重要產品目錄中，把網絡溯源和分析技術作為未來十五年實現信息產業自主創新和跨越式發展的重要技術來研究。研究簡單有效的IP溯源技術，對杜絕DoS攻擊，維護網絡環境的安全穩定，將產生重要意義。參考文獻1Tanenbaum A S. Computer Networks 4th EditionM. Pearson Education Inc.，20032Stefan Savage，David Wetherall，Member IEEE，Anna Karlin，and Tom Anderson.Network Support for IP TracebackJ. IEEE/ACM TRANSACTIONS ON NETWORKING VOL.9，NO.3，JUNE 20013Stefan Savage，David Wetherall，Anna Karlin and Tom Anderson. Practical Network Support for IP TracebackJ. P