李春芳　黃維平

摘要:該文通過對IP追蹤技術(shù)進(jìn)行總結(jié),回顧了IP追蹤的起源,按照主動和被動性對其進(jìn)行分類,分析了各個IP追蹤方法的基本原理和優(yōu)缺點,指出了IP追蹤技術(shù)存在的問題,展望了IP追蹤的發(fā)展。

關(guān)鍵詞:IP追蹤;網(wǎng)絡(luò)安全;主動追蹤;被動追蹤

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)22-pppp-0c

隨著Internet在商業(yè)活動中的重要性不斷增長,網(wǎng)絡(luò)攻擊特別是拒絕服務(wù)(DoS)攻擊也在不斷增加。IP追蹤技術(shù)能夠使受害主機的網(wǎng)絡(luò)管理員識別發(fā)起DoS攻擊的大量數(shù)據(jù)包的真正源頭,對于盡快恢復(fù)正常的網(wǎng)絡(luò)功能、阻止再次發(fā)生攻擊以及最終讓攻擊者為此負(fù)責(zé)非常重要。IP追蹤技術(shù)的設(shè)計目標(biāo)是:定位特定流的轉(zhuǎn)發(fā)路徑;在此基礎(chǔ)上盡量減少路由器的工作量;能向受害者提供有用的信息。

近年來,針對IP追蹤技術(shù)的研究發(fā)展很快,特別是在追蹤DOS和DDOS攻擊源方面提出了很多新穎有效的方法。本文簡要介紹了問題提出的背景,對當(dāng)前IP追蹤技術(shù)進(jìn)行分類同時對主要技術(shù)原理進(jìn)行了介紹分析,并列舉了IP追蹤面臨的問題,最后對IP追蹤技術(shù)的發(fā)展進(jìn)行展望。

1 IP追蹤方法分類

根據(jù)IP追蹤的主動被動性,可以將現(xiàn)有的IP追蹤技術(shù)分為兩大類:主動式追蹤和反應(yīng)式追蹤。

1.1 主動式追蹤

主動式追蹤是在數(shù)據(jù)包傳輸過程中記錄追蹤所需的信息。需要進(jìn)行追蹤時,參考這些記錄信息,識別出攻擊源。主動式追蹤在受害者發(fā)現(xiàn)攻擊時就可以追蹤攻擊的發(fā)起者,這樣可以防止DDoS攻擊的進(jìn)一步加劇,而且它并不要求分布式拒絕服務(wù)攻擊必須一直持續(xù)到回溯處理的結(jié)束。典型的方法包括包標(biāo)記法、路由記錄法以及ICMP消息法等。

1.2 反應(yīng)式追蹤

反應(yīng)式追蹤是在檢測到攻擊之后,才開始利用各種技術(shù)從攻擊目標(biāo)反向追蹤到攻擊源。反應(yīng)追蹤必須在攻擊還在實施時完成,否則,一旦攻擊停止,反應(yīng)追蹤技術(shù)就會失效。反應(yīng)追蹤的關(guān)鍵問題是要開發(fā)有效的反向追蹤算法和分組匹配技術(shù)。典型的方法包括輸入測試、入口過濾等。

2 IP追蹤方法詳述

2.1包標(biāo)記法

當(dāng)IP包經(jīng)過路由器時,每個路由器在包中標(biāo)記上一些信息(通常這些信息包括路由器的地址、與受害者相隔的距離等),當(dāng)受害者收到大量這樣的被標(biāo)記的包,就可以提取和分析這些標(biāo)記信息重構(gòu)攻擊路徑、確定攻擊源。數(shù)據(jù)包標(biāo)記技術(shù)一般由標(biāo)記和路徑重構(gòu)兩個過程構(gòu)成,標(biāo)記過程由路由器完成,主要是對數(shù)據(jù)包進(jìn)行信息附加。而重構(gòu)路徑過程則由受害者完成,受害者使用被標(biāo)記的數(shù)據(jù)包中的信息重構(gòu)攻擊路由。目前的包標(biāo)記技術(shù)主要有隨機包標(biāo)記法和固定包標(biāo)記法。

2.1.1 隨機包標(biāo)記法(PPM:Probabilistic Packet Marking)

該技術(shù)的基本思想是[1]:盡管IP包頭部的源地址可以偽造,但每個IP包仍然要經(jīng)過攻擊者與受害者之間的路由轉(zhuǎn)發(fā)。當(dāng)IP包經(jīng)過這些路由器時,每個路由器以一定的概率在其中標(biāo)記上一些信息(通常這些信息包括路由器的地址、與受害者相隔的距離等),當(dāng)受害者受到大量的這樣被標(biāo)記的包后,就可以提取和分析這些標(biāo)記信息重構(gòu)出攻擊路徑,確定攻擊源。該方法最主要的優(yōu)點是對路由器造成的負(fù)擔(dān)非常有限,并且支持逐步擴展,以及很好的事后處理能力。缺陷在于路徑重構(gòu)的計算負(fù)載過重; 用于標(biāo)記的位不夠和路徑重構(gòu)算法造成了高出錯率; 事先不知道路徑長度,使得在參數(shù)設(shè)置可能不是很恰當(dāng)。這些不足使得它不適合于大規(guī)模DDoS攻擊。目前比較成熟的PPM 算法包括基于分片的PPM算法、基于Hash 編碼的PPM算法,以及基于代數(shù)編碼的PPM 算法。

2.1.2 固定包標(biāo)記法(DPM:Deterministic Packet Marking)

固定包標(biāo)記法[1][4]只在入口邊界路由器進(jìn)行包標(biāo)記。它用IP頭的16位ID字段和1個保留位來記錄標(biāo)記信息。每個入口邊界路由器的IP地址被分為兩段,每段16位。當(dāng)一個包通過路由器的時候, 隨機選擇該IP地址的一段并用保留位來標(biāo)志該段為前段還是后段,總共17位進(jìn)行填充。這種算法的思想就是當(dāng)受害者一旦得到一個入口邊界路由器的兩個字段, 就可以得到這個路由器的IP地址。DPM的原理與PPM類似,但它們的實現(xiàn)方式有兩點重要差異:①PPM需要攻擊路徑上的所有路由器都參與路徑信息的標(biāo)記,而DPM只需要第一個入口邊界路由器具有標(biāo)記功能;②PPM中的路由器對經(jīng)過的IP包以一定的概率進(jìn)行標(biāo)記,而DPM則是由入口邊界路由器對每一個所經(jīng)過的IP包都進(jìn)行標(biāo)記。

網(wǎng)絡(luò)攻擊的最終目標(biāo)是找到攻擊的發(fā)起者,所以DPM中對入口地址進(jìn)行標(biāo)記的方法,相比較PPM中所有路徑進(jìn)行標(biāo)記的方法而言,對問題的解決顯得更為簡潔有效。該方法克服了PPM中路徑構(gòu)造算法復(fù)雜,誤暴率高的缺陷,并且健壯性也有所提高,而且具有追蹤小流量攻擊和反射攻擊的潛力,是一種很具有使用價值的追蹤技術(shù)。但是DPM的有效性極其依賴于邊界路由器支持的范圍和強度,這種要求使其離實際應(yīng)用還具有一定的差距。

2.2 路由記錄法(loging)

路由記錄法又稱為日志記錄追蹤法[2]。該方法要求在路由器上加入數(shù)據(jù)日志功能, 以記錄下所有來往數(shù)據(jù)包的信息, 受到攻擊后可以用數(shù)據(jù)挖掘等方法找到相關(guān)信息追蹤入侵者。但是由于日志信息會占用路由器大量的系統(tǒng)資源,同時還需要一個大規(guī)模的數(shù)據(jù)庫來支持日志信息的收集和分析,這將極大地增加網(wǎng)絡(luò)負(fù)擔(dān),影響了該方法的現(xiàn)實應(yīng)用。針對存儲包本身內(nèi)容過大,產(chǎn)生了基于哈希方法的包日志的IP追蹤,路由器計算和存儲每個自己轉(zhuǎn)發(fā)的包的信息摘要,這種方法可以由單個包追蹤到發(fā)包源。包摘要的存儲空間和與反向追蹤時包日志訪問時間限制了這種算法在高速連接的路由器中的實現(xiàn)。目前已有了基于該方法的追蹤系統(tǒng)SPIE(Source Path Isolation Engine)。但是該方法由于擴展性差,只適合小范圍的可控網(wǎng)絡(luò)追蹤。

2.3 ICMP消息法(ICMP-Based)

該方法是在ICMP協(xié)議的基礎(chǔ)上發(fā)展起來的。主要依靠路由器自身產(chǎn)生的ICMP跟蹤消息。每個路由器都以很低的概率(比如:1/200 000)產(chǎn)生ICMP消息,并隨數(shù)據(jù)包一起將該ICMP發(fā)送到目的分組。這種ICMP信息包含了路由信息,當(dāng)泛洪攻擊開始的時候,受害者主機就可以利用這些ICMP消息來重新構(gòu)造攻擊者的路徑。這種方法有很多優(yōu)點,但是也有一些缺點。比如:iTrace包容易被正常數(shù)據(jù)流淹沒,或者在傳輸過程中被防火墻過濾掉。同時,這種方法還必須處理攻擊者可能發(fā)送的偽造ICMP Traceback消息。

2.4輸入測試(Input Debugging)

這種方法要求受害者在檢測到自己遭到了攻擊后,從收到的攻擊包中提取出它們共有的一些特性,然后以某種方式通知網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員針對這些共有特性,在受害者的上一條路由器的輸出端口上過濾具有該特性的數(shù)據(jù)包,同時發(fā)現(xiàn)轉(zhuǎn)發(fā)這些數(shù)據(jù)包的上游鏈路,從而找到上一級路由器。上一級路由器再重復(fù)該過程,直到找到攻擊源。由于需要網(wǎng)絡(luò)管理員的介入使得整個方法具有相當(dāng)大的人工管理量,一些國外的ISP聯(lián)合開發(fā)的工具能夠在它們的網(wǎng)絡(luò)中進(jìn)行自動的追蹤,但是這種辦法最大的問題就是管理花費。而且,聯(lián)系多個ISP并在多個ISP之間協(xié)調(diào)也是件非常費時費力的工作。

2.5 入口過濾(Centertrack)

對付匿名攻擊的方法就是消除偽造源地址的能力,這種方法,通常就是入口過濾,它的原理就是通過配置路由器去阻止非法源地址數(shù)據(jù)包通過。這必然要求路由器有足夠能力去分析每個包的源地址,并且有足夠的能力把非法的源地址和合法的源地址區(qū)別開來。因此,入口過濾在ISP的邊緣或者客戶網(wǎng)絡(luò)中作用更加重要,處理的數(shù)據(jù)包也更加明確,并且流量負(fù)載相對低些。如果包是從多個ISP匯合進(jìn)入,就沒有足夠的信息去明確判斷數(shù)據(jù)包是否擁有"合法的"源地址。分析數(shù)據(jù)報源地址的工作會給高速路由器造成過重的計算負(fù)擔(dān),以高速連接來說,對于許多路由器架構(gòu),實現(xiàn)入口過濾太不實際了。入口過濾的主要問題是它的效能依賴于大范圍或者全體

的配置。不幸的是,主要的ISP,也許是絕大多數(shù)不提供這樣的服務(wù)。第2個問題就是,即便入口過濾機制在客戶-ISP 之間普遍運用,攻擊者仍然能夠偽造客戶網(wǎng)絡(luò)中的成百上千的IP地址。

2.6 Ipsec鑒別[6](Ipsecauthentication)

該方法基于現(xiàn)有的IP安全協(xié)議。當(dāng)入侵檢測系統(tǒng)(IDS)檢測到一個攻擊后,Internet密鑰交換協(xié)議(IKE)在受害主機和管理域的一些路由器(如邊界路由器)之間建立Ipsec安全關(guān)聯(lián)(Sas)。位于SA末端的路由器轉(zhuǎn)發(fā)分組時需要增加Ipsec首部和包含路由器IP地址隧道IP首部。如果某個SA檢測到攻擊分組,那么該攻擊就一定是來自于相應(yīng)路由器外面的網(wǎng)絡(luò)。接收者根據(jù)隧道IP首部的源地址可以找出轉(zhuǎn)發(fā)攻擊分組的路由器。遞歸的重復(fù)這個過程,即可最終找到攻擊源。由于該技術(shù)采用了現(xiàn)有的Ipsec和IKE協(xié)議,所以在管理域內(nèi)追蹤時無需實現(xiàn)新的協(xié)議而在域之間追蹤時則需要有專用的協(xié)作協(xié)議的支持。

3 IP追蹤面臨問題

從前面的介紹可以發(fā)現(xiàn),每一種追蹤方法都不是完美的,僅僅使用一種方法來對付DoS或DDoS攻擊是不夠的,任何一種單一的方法都無法解決所有的追蹤問題,精明的攻擊者可能利用算法的缺陷采取相應(yīng)對策,因此考慮可以把多種追蹤方法結(jié)合起來,這樣才可能會取得更好的追蹤效果。表1為已有幾種的追蹤技術(shù)比較圖。

理想情況下,IP追蹤應(yīng)能找到發(fā)起攻擊的主機。實際上使追蹤通過防火墻進(jìn)入企業(yè)內(nèi)部網(wǎng)是很難的。最后追蹤到的地址可能是防火墻地址即企業(yè)網(wǎng)的入口點。識別到組織,組織就能找出其內(nèi)部發(fā)起攻擊的用戶。即使IP追蹤找到了攻擊源,這個攻擊源可能是攻擊中的一個跳板.IP追蹤不能識別跳板后面最終的攻擊源。另外一個問題是追蹤系統(tǒng)的配置。大多數(shù)追蹤技術(shù)要求對網(wǎng)絡(luò)進(jìn)行一定的改變,包括增加路由器功能和改變分組。為了推廣追蹤技術(shù)應(yīng)用,應(yīng)在實現(xiàn)時減少這些要求,盡量做到與現(xiàn)有網(wǎng)絡(luò)兼容。在IP追蹤技術(shù)被廣泛應(yīng)用前還有些操作上的問題需解決。通過不同的網(wǎng)絡(luò)進(jìn)行追蹤,對追蹤應(yīng)該有一個共同的策略。為保護(hù)隱私還應(yīng)有一些方針來指導(dǎo)處理追蹤結(jié)果。未來,IDS(入侵檢測系統(tǒng))和IP追蹤系統(tǒng)的聯(lián)動[3]將是焦點問題。

在廣泛利用IP追蹤技術(shù)之前,還要解決一些問題:①即使IP追蹤技術(shù)找到了攻擊的源主機,那臺主機也很可能只是攻擊的一個代理機器。IP追蹤方法無法識別背后真正的攻擊源,這是一個亟待解決的問題。②要通過不同的網(wǎng)絡(luò)追蹤分組,就必須有一個追蹤的公共策略。而且需要一些規(guī)則來處理追蹤結(jié)果,避免侵犯隱私。③需要考慮如何使用IP追蹤所識別的攻擊源信息?？赡苓€需要評估IDS和IP追蹤系統(tǒng)得到的結(jié)果的正確性。

4 結(jié)語

IP反向追蹤是打擊網(wǎng)絡(luò)犯罪的必經(jīng)階段,它不僅是查找攻擊者的重要手段,而且對提供網(wǎng)絡(luò)犯罪的罪證也具有非常重要的作用。因此IP反向追蹤技術(shù)引起越來越多的重視。業(yè)界雖然提出了很多不同的方法,但是要追蹤真正的攻擊發(fā)起者,還有很多急需解決的問題。當(dāng)前,主動追蹤技術(shù)已成為IP追蹤技術(shù)研究的主流方向。IP追蹤技術(shù)起源于網(wǎng)絡(luò)安全,隨著網(wǎng)絡(luò)安全的發(fā)展而發(fā)展。一些新興網(wǎng)絡(luò)技術(shù)如無線網(wǎng)絡(luò)、自組織網(wǎng)絡(luò)、傳感器網(wǎng)絡(luò)等的出現(xiàn),必然會促進(jìn)IP追蹤技術(shù)的發(fā)展。

本文對當(dāng)前提出的多種IP追蹤方法進(jìn)行了介紹和系統(tǒng)分類, 歸納比較了各種方法的優(yōu)缺點, 探討了IP反向追蹤的進(jìn)一步研究方向,希望我們的研究能促進(jìn)網(wǎng)絡(luò)攻擊源追蹤技術(shù)的發(fā)展。

參考文獻(xiàn):

[1] Gong C, Sarac K.IP traceback based on packet marking and logging[C].Seoul,Korea:ICC,2005.

[2] Belenky A, Ansari N. Tracing multiple attackers with deterministic packet marking (DPM)[C].Seoul, Korea:ICC,2005.

[3] 閆巧,吳建平.網(wǎng)絡(luò)攻擊源追蹤技術(shù)的分類和展望[J].清華大學(xué)學(xué)報,2005,45(4):497-500.

[4] 段珊珊,左明. 一種新的確定性包標(biāo)記IP追蹤算法的研究[J].計算機應(yīng)用與軟件,2005,22(4):102-104

[5] 屠鵬,荊一楠,付振勇,等.基于反向節(jié)點標(biāo)記的攻擊源追蹤方法[J].計算機工程與設(shè)計,2006,27(18):3314-3317.

[6] 任偉.分布式網(wǎng)絡(luò)入侵取證追蹤系統(tǒng)的設(shè)計與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005,4(5):29-31.