IP反向追踪技术综述
随着Internet在商业活动中的重要性不断增长,网络攻击
特别是拒绝服务(DoS)攻击也在不断增加。IP追踪技术能够使
受害主机的网络管理员识别发起DoS攻击的大量数据包的真
正源头,对于尽快恢复正常的网络功能、阻止再次发生攻击
以及最终让攻击者为此负责非常重要。仅仅识别产生攻击业
务的计算机和网络似乎是一个有限目标,但是它所提供的重
要线索有助于识别实际的攻击者。本文针对DoS,对比分析
了现有各个IP反向追踪技术的基本原理、优缺点和局限性。
一、DoS攻击
DoS攻击一般都默认地使用IP欺骗方式实施攻击,使网
络服务器充斥大量要求回复的信息,消耗网络带宽或系统
资源,导致网络或系统不胜负荷以至于瘫痪而停止为合法
用户提供正常的网络服务。大部分DDoS攻击都是间接地通
过其他主机系统攻击它们的目标。一旦攻击者知道无辜用
户的账号,他就能伪装成那个人实施犯罪。攻击者还可以
通过获得管理特权,在任何一台计算机上创建新账号。攻
击者利用窃取来的账号清洗攻击数据包:被窃取账号的主
机(以下称清洗主机)接收和处理攻击主机的数据包,然
后再将数据包发送给受害主机。因此,攻击者就利用清洗
主机伪装了它们的身份。在DDoS攻击中,为了提高攻击的
成功率,攻击者会同时控制成百上千台清洗主机,每台清
洗主机根据攻击命令向目标主机发送大量的 DoS数据包,
使目标主机瘫痪。
必须采取相应的措施来阻止或者减轻DoS/DDoS攻击,
并对攻击做出反应。阻止或者减轻攻击效果的方法称为预
防性措施,包括优化软件参数、输入过滤和速率限制。而
要对攻击做出反应,则必须采用各种IP反向追踪技术:不
仅能识别攻击主机的真正IP地址,而且还可以获得产生攻
击的机构信息,例如它的名称和网络管理员的E-mail地址
等。
二、IP追踪方法
根据IP追踪的主动程度,可以将现有的IP追踪技术分为
两大类:主动追踪和反应追踪。主动追踪技术为了追踪IP源
地址,需要在传输数据包时准备一些信息,并利用这些信息
识别攻击源。主动追踪方法在数据包通过网络时记录追踪信
息,受害主机可以使用产生的追踪数据重建攻击路径,并最
终识别攻击者。主动追踪包括数据包记录、消息传递和数据
包标记。而反应追踪却是在检测到攻击之后,才开始利用各
种技术从攻击目标反向追踪到攻击的发起点。必须在攻击还
在实施时完成它们,否则,一旦攻击停止,反应追踪技术就
会无效。输入调试和可控涌塞属于反应追踪措施。大部分反
应追踪需要很大程度的ISP合作,这样会造成大量的管理负
担以及困难的法律和政策问题,因此有效的IP追踪方法应该
需要最少的或者根本不需要ISP合作。
IP追踪技术的关键需求包括:
与现有网络协议的兼容;网络业务开销可以忽略;支持
新增的实现;
与现有的路由器和网络结构兼容;
对付DDoS攻击的有效性;
在时间和资源方面的最小开销;
应该不需要ISP合作;追踪的成功不应该取决于攻击的持
续时间。
顾名思义,链路测试(有时也称为逐段追踪)法通过测
试路由器之间的网络链路来确定攻击业务源头。大部分技术
从最接近受害主机的路由器开始,测试它的输入(上行)链
路以确定携带业务的路由器。如果检测到了有电子欺骗的数
据包(通过比较数据包的源IP地址和它的路由表信息),那么
它就会登录到上一级路由器,并继续监控数据包。如果仍然
检测到有电子欺骗的扩散攻击,就会登录到再上一级路由器
上再次检测电子欺骗的数据包。重复执行这一过程,直到到
达实际的攻击源。链路测试是反应追踪方法,要求攻击在完
成追踪之前都一直存在。输入调试和受控淹没是链路测试方
法的两种实现方法。
许多路由器都存在这种特性:管理员能够确定特定数据
包的输入网络链路。如果路由器操作人员知道攻击业务的特
定特性(称为攻击特征),那就有可能在路由器上确定输入网
络链路。然后,ISP必须对连接到网络链路的上游路由器执行
相同的处理过程,依次类推直到找到业务源、或者直到踪迹
离开了当前ISP的界线。在后一种情况中,管理员必须联系上
游ISP继续追踪过程。
这个技术的最大缺点是多个网络边界和ISP之间的通信
和协作努力上的巨大管理开销,它在受害主机和ISP方面都
需要时间和人力。这些问题在DDoS攻击中变得更加复杂,因
为攻击业务可以来自属于许多不同ISP的计算机。表1说明了
输入调试的优缺点。
表1 输入调试的优缺点
优点 缺点
与现有协议兼容 时间和人力开销
网络业务开销可以忽略 必须建立攻击路径沿途ISP的通信
和协作
支持新增的实现 要成功追踪,攻击时间必须足够长
与现有的路由器和
网络基础结构兼容 不太适合DDoS
受控淹没技术是从受害网络向上游网络段产生一个网络
业务突发,并且观察这个故意产生的业务涌塞是如何影响攻
击业务强度的。受害主机使用周围已知的Internet拓扑结构
图,选择最接近自己的那个路由器的上游链路中的主机,对
这个路由器的每个输入网络链路分别进行强行淹没。由于这
些数据包同攻击者发起的数据包同时共享了路由器,因此增
加了路由器丢包的可能性。
受控淹没的最大问题是技术本身是一类DoS攻击,这可
能会破坏信任的上游路由器和网络上的有效业务。当然,这
不适合Internet上的普遍常规应用。表2说明了受控淹没的优
缺点。
表2 受控淹没技术的优缺点
优点 缺点
与现有协议兼容 本身是一类拒绝服务攻击
支持新增的实现 需要正确的网络拓扑图
与现有的路由器和 要成功追踪,攻击时间必须足够长
网络基础结构兼容
不太适合DDoS
可能需要ISP合作
2、数据包记录
确定侵犯Internet业务的真正起源的显而易见的方法是在
通过Internet的关键路由器上记录数据包,然后使用数据钻取
技术提取有关攻击业务源的信息。尽管这个解决方法似乎很
显然,并且可以对攻击业务做出准确分析(即使在攻击已经
停止之后),但是它的最大缺点是保存记录所需要的大量处理
和存储能力,且保存和在ISP之间共享这个信息的需求还存
在法律及保密问题。
Alex Snoeren等提出了一个新的数据包记录和IP追踪方
法,称为SPIE(Source Path Isolatio。他们不是存储
整个数据包,而是只在称为Bloom Filter的有效存储结构中
存储它的相应固定部分的Hash摘要。为了完成IP追踪请求,
数据搜集网络和遍布不同网络的分析代理可以使用这个方法
提取重要的数据包数据,并且产生合适的攻击图,从而识别
攻击业务的源头。
当前基于数据包记录的追踪方法使用滑动时间窗来存储
记录的数据,从而避免了在攻击正在进行时或者攻击发生后
不久捕获攻击时需要过多的存储和分析需求 (因此,所需的
记录数据仍然可以使用)。表3说明了数据包记录的优缺点。
表3 数据包记录法的优缺点
优点 缺点
与现有协议兼容 在处理和存储需求方面是资源密集性的
支持新增的实现 在多个ISP之间共享记录信息存在法律和保密问题
与现有的路由器和 不太适合DDoS
网络基础结构兼容
允许在攻击之后分析
网络业务开销可以忽略
可以追踪单个数据包
3、消息传递
2000年7月,Internet工程任务组(IETF)成立了一个工作
组来开发基于iTrace方法的ICMP追踪消息。这个方法利用加
载了跟踪机制的路由器(称为iTrace路由器)以很低的概率
发送一种特殊定义的ICMP数据包。
这个数据包包含局部路径信息:发送它的路由器的IP地
址、前一跳和后一跳路由器的IP地址以及它的身份验证信息。
可以通过查找相应的ICMP追踪消息,并检查它的源IP地
址,来识别经过的路由器。但是, 由于为每个分组创建一个
ICMP追踪消息增加了网络业务,所以每个路由器以1/20,000
的概率为要经过它传输的分组创建ICMP追踪消息。如果攻击
者发送了许多分组(例如,在扩散类型的攻击中),那么目标
网络就可以收集足够的ICMP追踪消息来识别它的攻击路径。
该算法的缺陷在于产生ICMP追踪消息数据包的概率不能太
高,否则带宽耗用太高,所以该算法在攻击数据包数量很多
时才比较有效。
iTrace机制的缺点在DDoS攻击中变得更加明显。在这类情况
下,选择攻击数据包的可能性比使用的抽样速率小得多。
受害主机可能会从最近的路由器获得许多ICMP追踪消息,但
是很少是由接近僵尸主机的路由器产生的。
为了克服这个缺点,研究人员对iTrace提出了一种改进
方法,称为Intension驱动的ICMP追踪。这个技术分开了判决
模块和iTrace产生模块之间的消息传递功能。接收网络为路
由表提供了特定的信息以指出它需要ICMP追踪消息。在路由
表中提供的特定信息的基础上,判决模块将选择接着使用哪
类数据包来产生iTrace消息。然后,iTrace产生模块处理这个
选中数据包,并且发送一个新的iTrace消息。
Intention驱动的追踪还允许无论接收网络是否想接收
iTrace数据包,都可以发信号,这就增加了对接收网络有用
的消息比例。如果特定网络怀疑或者检测到它正遭到攻击,
那么这种方法也很有用:它可以向上游路由器请求iTrace数
据包,以识别攻击业务的源头。表4列出了消息传递方法的
优缺点。表4 消息传递技术的优缺点
优点 缺点
与现有协议兼容 即使对追踪消息使用非常低的概率,也产生了
额外的网络业务
支持新增的实现 除非还有实现了密钥分配的加密机制,否则攻击
者可以在数据包流中插入假的ICMP追踪消息,以
掩饰攻击业务的真正来源
与现有的路由器和 由于会在多个常见攻击情况中使用ICMP业务,所
网络基础结构兼容 以公司会越来越多地过滤ICMP业务
如果用加密和密钥 在DDoS机制中,只有非常少的ICMP追踪消息来自
分配机制实现,为 远端路由器(但是会通过intension驱动的ICMP追
对付拒绝服务攻击 踪解决这个问题)
提供了一个非常有
前景和可扩展的技术
不需要ISP合作 攻击路径重建需要较长的时间,例如30分钟
允许在攻击之后分析
4、数据包标记
数据包标记方法是在被追踪的IP数据包中插入追踪数
据,从而在到目标主机的网络上的各个路由器上标记数据包。
数据包标记的最简单的实现是使用记录路由选项(在RFC
791中指定的)在IP头的选项字段中存储路由器地址。但是,
这个方法增加了每个路由器处的数据包长度,并且可能导致
额外的分段。而且,攻击者可能试图用假数据来填充为路由
保留的字段,从而逃避追踪。
Stefan Savage等人在2001年提出了利用随机业务抽样
和压缩的数据包标记算法。依赖随机数据包标记(PPM)的追
踪机制使用概率为1/25的随机抽样,从而避免了路由器数
据包标记的过多开销。此外,每个数据包只存储它的路由信
息的一部分,而不是整条路径的信息。而且如果攻击数据包
足够多,就可以保证受害主机重构攻击路径上的每一个路由器。
压缩的边缘分段抽样技术(CEFS)已经成为最著名的IP追
踪机制之一。要执行一次成功的追踪,受害者必须搜集足够
的数据包来重建攻击路径的每个边缘和完整的攻击图。但是
这在DDoS攻击中非常困难,因为正确地将分段和编码的路
径边缘组织在一起很困难。
Dawn Song和Adrian Perrig对Savages的基于边缘识别
PPM的方法提出了改进,通过存储每个IP地址的Hash值(而
不是地址本身)进一步减少了存储需求。这种方法假设受害
主机拥有所有上游路由器的完整网络图。在重新组装边缘分
段之后,该方法将产生的IP地址Hash值与从网络图得到的路
由器IP地址Hash值相比较(以便于重建攻击路径)。这个改
进方法比以前的方法对于DDoS攻击更加有效。
表5列出了数据包标记的优缺点。
表5 数据包标记的优缺点
优点 缺点
使用逐渐增多,并且是 需要改进协议
低成本的
适用于现有的路由器和 产生假阳性路径(不是路径攻击的一部分)
网络基础结构
对DDoS很有效 不能处理分段
不需要ISP合作 不能用于IPv6,并且与IPSec不兼容
允许在攻击之后分析
三、应用前景
随着Internet的发展,越来越多的服务都是通过网络为大
众提供的,但是与此同时,针对互联网服务的攻击手段也越
来越多。目前提出的所有IP追踪机制都有它们自己特定的优
点和缺点。没有一种解决方案可以实现有效追踪方法所规定
的所有需求。要使其中任何一个IP追踪方案有效,必须在大
部分Internet基础结构中的公司和行政边界都使用它们。这本
身似乎就是统一IP追踪方法的最大障碍之一。而且,一些方
法对于DDoS攻击不太有效、是资源密集的、会引起网络开
销,或者不能在攻击之后进行分析。因此,除非在整个Intern
上使用IP追踪方法,否则它们只对受控网络而不是整个
Internet有效。
而且,即使使用这种追踪系统,也还需要人类的干预。特
别是,人们必须解决追踪的管理屏障,并且提供自动处理无
法获取的信息,例如工作记录、电话记录等。要求系统管理
员保持日志、记录以及追踪系统工作所需要的其他信息;要
求行业内部、服务提供商、网络管理员、网络用户和法律执
行部门的有效协作。
浙公网安备 33010602011771号