ＩＰ反向追蹤技術(shù)綜述

李春芳　黃維平

摘要:該文通過(guò)對(duì)IP追蹤技術(shù)進(jìn)行總結(jié),回顧了IP追蹤的起源,按照主動(dòng)和被動(dòng)性對(duì)其進(jìn)行分類,分析了各個(gè)IP追蹤方法的基本原理和優(yōu)缺點(diǎn),指出了IP追蹤技術(shù)存在的問(wèn)題,展望了IP追蹤的發(fā)展。

關(guān)鍵詞:IP追蹤;網(wǎng)絡(luò)安全;主動(dòng)追蹤;被動(dòng)追蹤

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)22-pppp-0c

隨著Internet在商業(yè)活動(dòng)中的重要性不斷增長(zhǎng),網(wǎng)絡(luò)攻擊特別是拒絕服務(wù)(DoS)攻擊也在不斷增加。IP追蹤技術(shù)能夠使受害主機(jī)的網(wǎng)絡(luò)管理員識(shí)別發(fā)起DoS攻擊的大量數(shù)據(jù)包的真正源頭,對(duì)于盡快恢復(fù)正常的網(wǎng)絡(luò)功能、阻止再次發(fā)生攻擊以及最終讓攻擊者為此負(fù)責(zé)非常重要。IP追蹤技術(shù)的設(shè)計(jì)目標(biāo)是:定位特定流的轉(zhuǎn)發(fā)路徑;在此基礎(chǔ)上盡量減少路由器的工作量;能向受害者提供有用的信息。

近年來(lái),針對(duì)IP追蹤技術(shù)的研究發(fā)展很快,特別是在追蹤DOS和DDOS攻擊源方面提出了很多新穎有效的方法。本文簡(jiǎn)要介紹了問(wèn)題提出的背景,對(duì)當(dāng)前IP追蹤技術(shù)進(jìn)行分類同時(shí)對(duì)主要技術(shù)原理進(jìn)行了介紹分析,并列舉了IP追蹤面臨的問(wèn)題,最后對(duì)IP追蹤技術(shù)的發(fā)展進(jìn)行展望。

1 IP追蹤方法分類

根據(jù)IP追蹤的主動(dòng)被動(dòng)性,可以將現(xiàn)有的IP追蹤技術(shù)分為兩大類:主動(dòng)式追蹤和反應(yīng)式追蹤。

1.1 主動(dòng)式追蹤

主動(dòng)式追蹤是在數(shù)據(jù)包傳輸過(guò)程中記錄追蹤所需的信息。需要進(jìn)行追蹤時(shí),參考這些記錄信息,識(shí)別出攻擊源。主動(dòng)式追蹤在受害者發(fā)現(xiàn)攻擊時(shí)就可以追蹤攻擊的發(fā)起者,這樣可以防止DDoS攻擊的進(jìn)一步加劇,而且它并不要求分布式拒絕服務(wù)攻擊必須一直持續(xù)到回溯處理的結(jié)束。典型的方法包括包標(biāo)記法、路由記錄法以及ICMP消息法等。

1.2 反應(yīng)式追蹤

反應(yīng)式追蹤是在檢測(cè)到攻擊之后,才開始利用各種技術(shù)從攻擊目標(biāo)反向追蹤到攻擊源。反應(yīng)追蹤必須在攻擊還在實(shí)施時(shí)完成,否則,一旦攻擊停止,反應(yīng)追蹤技術(shù)就會(huì)失效。反應(yīng)追蹤的關(guān)鍵問(wèn)題是要開發(fā)有效的反向追蹤算法和分組匹配技術(shù)。典型的方法包括輸入測(cè)試、入口過(guò)濾等。

2 IP追蹤方法詳述

2.1包標(biāo)記法

當(dāng)IP包經(jīng)過(guò)路由器時(shí),每個(gè)路由器在包中標(biāo)記上一些信息(通常這些信息包括路由器的地址、與受害者相隔的距離等),當(dāng)受害者收到大量這樣的被標(biāo)記的包,就可以提取和分析這些標(biāo)記信息重構(gòu)攻擊路徑、確定攻擊源。數(shù)據(jù)包標(biāo)記技術(shù)一般由標(biāo)記和路徑重構(gòu)兩個(gè)過(guò)程構(gòu)成,標(biāo)記過(guò)程由路由器完成,主要是對(duì)數(shù)據(jù)包進(jìn)行信息附加。而重構(gòu)路徑過(guò)程則由受害者完成,受害者使用被標(biāo)記的數(shù)據(jù)包中的信息重構(gòu)攻擊路由。目前的包標(biāo)記技術(shù)主要有隨機(jī)包標(biāo)記法和固定包標(biāo)記法。

2.1.1 隨機(jī)包標(biāo)記法(PPM:Probabilistic Packet Marking)

該技術(shù)的基本思想是[1]:盡管IP包頭部的源地址可以偽造,但每個(gè)IP包仍然要經(jīng)過(guò)攻擊者與受害者之間的路由轉(zhuǎn)發(fā)。當(dāng)IP包經(jīng)過(guò)這些路由器時(shí),每個(gè)路由器以一定的概率在其中標(biāo)記上一些信息(通常這些信息包括路由器的地址、與受害者相隔的距離等),當(dāng)受害者受到大量的這樣被標(biāo)記的包后,就可以提取和分析這些標(biāo)記信息重構(gòu)出攻擊路徑,確定攻擊源。該方法最主要的優(yōu)點(diǎn)是對(duì)路由器造成的負(fù)擔(dān)非常有限,并且支持逐步擴(kuò)展,以及很好的事后處理能力。缺陷在于路徑重構(gòu)的計(jì)算負(fù)載過(guò)重; 用于標(biāo)記的位不夠和路徑重構(gòu)算法造成了高出錯(cuò)率; 事先不知道路徑長(zhǎng)度,使得在參數(shù)設(shè)置可能不是很恰當(dāng)。這些不足使得它不適合于大規(guī)模DDoS攻擊。目前比較成熟的PPM 算法包括基于分片的PPM算法、基于Hash 編碼的PPM算法,以及基于代數(shù)編碼的PPM 算法。

2.1.2 固定包標(biāo)記法(DPM:Deterministic Packet Marking)

固定包標(biāo)記法[1][4]只在入口邊界路由器進(jìn)行包標(biāo)記。它用IP頭的16位ID字段和1個(gè)保留位來(lái)記錄標(biāo)記信息。每個(gè)入口邊界路由器的IP地址被分為兩段,每段16位。當(dāng)一個(gè)包通過(guò)路由器的時(shí)候, 隨機(jī)選擇該IP地址的一段并用保留位來(lái)標(biāo)志該段為前段還是后段,總共17位進(jìn)行填充。這種算法的思想就是當(dāng)受害者一旦得到一個(gè)入口邊界路由器的兩個(gè)字段, 就可以得到這個(gè)路由器的IP地址。DPM的原理與PPM類似,但它們的實(shí)現(xiàn)方式有兩點(diǎn)重要差異:①PPM需要攻擊路徑上的所有路由器都參與路徑信息的標(biāo)記,而DPM只需要第一個(gè)入口邊界路由器具有標(biāo)記功能;②PPM中的路由器對(duì)經(jīng)過(guò)的IP包以一定的概率進(jìn)行標(biāo)記,而DPM則是由入口邊界路由器對(duì)每一個(gè)所經(jīng)過(guò)的IP包都進(jìn)行標(biāo)記。

網(wǎng)絡(luò)攻擊的最終目標(biāo)是找到攻擊的發(fā)起者,所以DPM中對(duì)入口地址進(jìn)行標(biāo)記的方法,相比較PPM中所有路徑進(jìn)行標(biāo)記的方法而言,對(duì)問(wèn)題的解決顯得更為簡(jiǎn)潔有效。該方法克服了PPM中路徑構(gòu)造算法復(fù)雜,誤暴率高的缺陷,并且健壯性也有所提高,而且具有追蹤小流量攻擊和反射攻擊的潛力,是一種很具有使用價(jià)值的追蹤技術(shù)。但是DPM的有效性極其依賴于邊界路由器支持的范圍和強(qiáng)度,這種要求使其離實(shí)際應(yīng)用還具有一定的差距。

2.2 路由記錄法(loging)

路由記錄法又稱為日志記錄追蹤法[2]。該方法要求在路由器上加入數(shù)據(jù)日志功能, 以記錄下所有來(lái)往數(shù)據(jù)包的信息, 受到攻擊后可以用數(shù)據(jù)挖掘等方法找到相關(guān)信息追蹤入侵者。但是由于日志信息會(huì)占用路由器大量的系統(tǒng)資源,同時(shí)還需要一個(gè)大規(guī)模的數(shù)據(jù)庫(kù)來(lái)支持日志信息的收集和分析,這將極大地增加網(wǎng)絡(luò)負(fù)擔(dān),影響了該方法的現(xiàn)實(shí)應(yīng)用。針對(duì)存儲(chǔ)包本身內(nèi)容過(guò)大,產(chǎn)生了基于哈希方法的包日志的IP追蹤,路由器計(jì)算和存儲(chǔ)每個(gè)自己轉(zhuǎn)發(fā)的包的信息摘要,這種方法可以由單個(gè)包追蹤到發(fā)包源。包摘要的存儲(chǔ)空間和與反向追蹤時(shí)包日志訪問(wèn)時(shí)間限制了這種算法在高速連接的路由器中的實(shí)現(xiàn)。目前已有了基于該方法的追蹤系統(tǒng)SPIE(Source Path Isolation Engine)。但是該方法由于擴(kuò)展性差,只適合小范圍的可控網(wǎng)絡(luò)追蹤。

2.3 ICMP消息法(ICMP-Based)

該方法是在ICMP協(xié)議的基礎(chǔ)上發(fā)展起來(lái)的。主要依靠路由器自身產(chǎn)生的ICMP跟蹤消息。每個(gè)路由器都以很低的概率(比如:1/200 000)產(chǎn)生ICMP消息,并隨數(shù)據(jù)包一起將該ICMP發(fā)送到目的分組。這種ICMP信息包含了路由信息,當(dāng)泛洪攻擊開始的時(shí)候,受害者主機(jī)就可以利用這些ICMP消息來(lái)重新構(gòu)造攻擊者的路徑。這種方法有很多優(yōu)點(diǎn),但是也有一些缺點(diǎn)。比如:iTrace包容易被正常數(shù)據(jù)流淹沒(méi),或者在傳輸過(guò)程中被防火墻過(guò)濾掉。同時(shí),這種方法還必須處理攻擊者可能發(fā)送的偽造ICMP Traceback消息。

2.4輸入測(cè)試(Input Debugging)

這種方法要求受害者在檢測(cè)到自己遭到了攻擊后,從收到的攻擊包中提取出它們共有的一些特性,然后以某種方式通知網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員針對(duì)這些共有特性,在受害者的上一條路由器的輸出端口上過(guò)濾具有該特性的數(shù)據(jù)包,同時(shí)發(fā)現(xiàn)轉(zhuǎn)發(fā)這些數(shù)據(jù)包的上游鏈路,從而找到上一級(jí)路由器。上一級(jí)路由器再重復(fù)該過(guò)程,直到找到攻擊源。由于需要網(wǎng)絡(luò)管理員的介入使得整個(gè)方法具有相當(dāng)大的人工管理量,一些國(guó)外的ISP聯(lián)合開發(fā)的工具能夠在它們的網(wǎng)絡(luò)中進(jìn)行自動(dòng)的追蹤,但是這種辦法最大的問(wèn)題就是管理花費(fèi)。而且,聯(lián)系多個(gè)ISP并在多個(gè)ISP之間協(xié)調(diào)也是件非常費(fèi)時(shí)費(fèi)力的工作。

2.5 入口過(guò)濾(Centertrack)

對(duì)付匿名攻擊的方法就是消除偽造源地址的能力,這種方法,通常就是入口過(guò)濾,它的原理就是通過(guò)配置路由器去阻止非法源地址數(shù)據(jù)包通過(guò)。這必然要求路由器有足夠能力去分析每個(gè)包的源地址,并且有足夠的能力把非法的源地址和合法的源地址區(qū)別開來(lái)。因此,入口過(guò)濾在ISP的邊緣或者客戶網(wǎng)絡(luò)中作用更加重要,處理的數(shù)據(jù)包也更加明確,并且流量負(fù)載相對(duì)低些。如果包是從多個(gè)ISP匯合進(jìn)入,就沒(méi)有足夠的信息去明確判斷數(shù)據(jù)包是否擁有"合法的"源地址。分析數(shù)據(jù)報(bào)源地址的工作會(huì)給高速路由器造成過(guò)重的計(jì)算負(fù)擔(dān),以高速連接來(lái)說(shuō),對(duì)于許多路由器架構(gòu),實(shí)現(xiàn)入口過(guò)濾太不實(shí)際了。入口過(guò)濾的主要問(wèn)題是它的效能依賴于大范圍或者全體

的配置。不幸的是,主要的ISP,也許是絕大多數(shù)不提供這樣的服務(wù)。第2個(gè)問(wèn)題就是,即便入口過(guò)濾機(jī)制在客戶-ISP 之間普遍運(yùn)用,攻擊者仍然能夠偽造客戶網(wǎng)絡(luò)中的成百上千的IP地址。

2.6 Ipsec鑒別[6](Ipsecauthentication)

該方法基于現(xiàn)有的IP安全協(xié)議。當(dāng)入侵檢測(cè)系統(tǒng)(IDS)檢測(cè)到一個(gè)攻擊后,Internet密鑰交換協(xié)議(IKE)在受害主機(jī)和管理域的一些路由器(如邊界路由器)之間建立Ipsec安全關(guān)聯(lián)(Sas)。位于SA末端的路由器轉(zhuǎn)發(fā)分組時(shí)需要增加Ipsec首部和包含路由器IP地址隧道IP首部。如果某個(gè)SA檢測(cè)到攻擊分組,那么該攻擊就一定是來(lái)自于相應(yīng)路由器外面的網(wǎng)絡(luò)。接收者根據(jù)隧道IP首部的源地址可以找出轉(zhuǎn)發(fā)攻擊分組的路由器。遞歸的重復(fù)這個(gè)過(guò)程,即可最終找到攻擊源。由于該技術(shù)采用了現(xiàn)有的Ipsec和IKE協(xié)議,所以在管理域內(nèi)追蹤時(shí)無(wú)需實(shí)現(xiàn)新的協(xié)議而在域之間追蹤時(shí)則需要有專用的協(xié)作協(xié)議的支持。

3 IP追蹤面臨問(wèn)題

從前面的介紹可以發(fā)現(xiàn),每一種追蹤方法都不是完美的,僅僅使用一種方法來(lái)對(duì)付DoS或DDoS攻擊是不夠的,任何一種單一的方法都無(wú)法解決所有的追蹤問(wèn)題,精明的攻擊者可能利用算法的缺陷采取相應(yīng)對(duì)策,因此考慮可以把多種追蹤方法結(jié)合起來(lái),這樣才可能會(huì)取得更好的追蹤效果。表1為已有幾種的追蹤技術(shù)比較圖。

理想情況下,IP追蹤應(yīng)能找到發(fā)起攻擊的主機(jī)。實(shí)際上使追蹤通過(guò)防火墻進(jìn)入企業(yè)內(nèi)部網(wǎng)是很難的。最后追蹤到的地址可能是防火墻地址即企業(yè)網(wǎng)的入口點(diǎn)。識(shí)別到組織,組織就能找出其內(nèi)部發(fā)起攻擊的用戶。即使IP追蹤找到了攻擊源,這個(gè)攻擊源可能是攻擊中的一個(gè)跳板.IP追蹤不能識(shí)別跳板后面最終的攻擊源。另外一個(gè)問(wèn)題是追蹤系統(tǒng)的配置。大多數(shù)追蹤技術(shù)要求對(duì)網(wǎng)絡(luò)進(jìn)行一定的改變,包括增加路由器功能和改變分組。為了推廣追蹤技術(shù)應(yīng)用,應(yīng)在實(shí)現(xiàn)時(shí)減少這些要求,盡量做到與現(xiàn)有網(wǎng)絡(luò)兼容。在IP追蹤技術(shù)被廣泛應(yīng)用前還有些操作上的問(wèn)題需解決。通過(guò)不同的網(wǎng)絡(luò)進(jìn)行追蹤,對(duì)追蹤應(yīng)該有一個(gè)共同的策略。為保護(hù)隱私還應(yīng)有一些方針來(lái)指導(dǎo)處理追蹤結(jié)果。未來(lái),IDS(入侵檢測(cè)系統(tǒng))和IP追蹤系統(tǒng)的聯(lián)動(dòng)[3]將是焦點(diǎn)問(wèn)題。

在廣泛利用IP追蹤技術(shù)之前,還要解決一些問(wèn)題:①即使IP追蹤技術(shù)找到了攻擊的源主機(jī),那臺(tái)主機(jī)也很可能只是攻擊的一個(gè)代理機(jī)器。IP追蹤方法無(wú)法識(shí)別背后真正的攻擊源,這是一個(gè)亟待解決的問(wèn)題。②要通過(guò)不同的網(wǎng)絡(luò)追蹤分組,就必須有一個(gè)追蹤的公共策略。而且需要一些規(guī)則來(lái)處理追蹤結(jié)果,避免侵犯隱私。③需要考慮如何使用IP追蹤所識(shí)別的攻擊源信息?？赡苓€需要評(píng)估IDS和IP追蹤系統(tǒng)得到的結(jié)果的正確性。

4 結(jié)語(yǔ)

IP反向追蹤是打擊網(wǎng)絡(luò)犯罪的必經(jīng)階段,它不僅是查找攻擊者的重要手段,而且對(duì)提供網(wǎng)絡(luò)犯罪的罪證也具有非常重要的作用。因此IP反向追蹤技術(shù)引起越來(lái)越多的重視。業(yè)界雖然提出了很多不同的方法,但是要追蹤真正的攻擊發(fā)起者,還有很多急需解決的問(wèn)題。當(dāng)前,主動(dòng)追蹤技術(shù)已成為IP追蹤技術(shù)研究的主流方向。IP追蹤技術(shù)起源于網(wǎng)絡(luò)安全,隨著網(wǎng)絡(luò)安全的發(fā)展而發(fā)展。一些新興網(wǎng)絡(luò)技術(shù)如無(wú)線網(wǎng)絡(luò)、自組織網(wǎng)絡(luò)、傳感器網(wǎng)絡(luò)等的出現(xiàn),必然會(huì)促進(jìn)IP追蹤技術(shù)的發(fā)展。

本文對(duì)當(dāng)前提出的多種IP追蹤方法進(jìn)行了介紹和系統(tǒng)分類, 歸納比較了各種方法的優(yōu)缺點(diǎn), 探討了IP反向追蹤的進(jìn)一步研究方向,希望我們的研究能促進(jìn)網(wǎng)絡(luò)攻擊源追蹤技術(shù)的發(fā)展。

參考文獻(xiàn):

[1] Gong C, Sarac K.IP traceback based on packet marking and logging[C].Seoul,Korea:ICC,2005.

[2] Belenky A, Ansari N. Tracing multiple attackers with deterministic packet marking (DPM)[C].Seoul, Korea:ICC,2005.

[3] 閆巧,吳建平.網(wǎng)絡(luò)攻擊源追蹤技術(shù)的分類和展望[J].清華大學(xué)學(xué)報(bào),2005,45(4):497-500.

[4] 段珊珊,左明. 一種新的確定性包標(biāo)記IP追蹤算法的研究[J].計(jì)算機(jī)應(yīng)用與軟件,2005,22(4):102-104

[5] 屠鵬,荊一楠,付振勇,等.基于反向節(jié)點(diǎn)標(biāo)記的攻擊源追蹤方法[J].計(jì)算機(jī)工程與設(shè)計(jì),2006,27(18):3314-3317.

[6] 任偉.分布式網(wǎng)絡(luò)入侵取證追蹤系統(tǒng)的設(shè)計(jì)與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005,4(5):29-31.