IPv6下確定性包標(biāo)記追蹤

楊小紅，鄭瑋琨

（深圳信息職業(yè)技術(shù)學(xué)院信息中心，廣東 深圳，518172）

IPv6下確定性包標(biāo)記追蹤

楊小紅，鄭瑋琨

（深圳信息職業(yè)技術(shù)學(xué)院信息中心，廣東 深圳，518172）

IP追蹤技術(shù)的動(dòng)力源于識(shí)別IP包的攻擊源，有利實(shí)時(shí)阻斷隔離DDOS等網(wǎng)絡(luò)攻擊。目前的IP追蹤方法大多是使用IPV4包頭中很少使用的16位標(biāo)示域保存經(jīng)過(guò)的路由器信息。不適用于IPv6環(huán)境。本文闡明了IPv6環(huán)境下確定性包標(biāo)記（DPM）算法的實(shí)現(xiàn)，此算法克服IPv4環(huán)境下DPM算法的兩個(gè)典型缺陷，且容易實(shí)現(xiàn)，追蹤效率高，具有單包追蹤攻擊源的功能。

IPv6；DDOS；IP追蹤；確定性包標(biāo)記

DOS是（Denial of Service）的簡(jiǎn)稱(chēng)。DDOS是（Distributed Denial of Service）的簡(jiǎn)稱(chēng)，是分布式拒絕服務(wù)攻擊。攻擊者利用網(wǎng)絡(luò)上的傀儡機(jī)向目標(biāo)機(jī)發(fā)送大量的合法的數(shù)據(jù)，導(dǎo)致目標(biāo)主機(jī)無(wú)法提供正常的服務(wù)。且攻擊者的身份很難確認(rèn)。DDOS攻擊方式多樣，主要有：SYN Flood攻擊、ACK Flood攻擊、connection Flood攻擊、UDP洪水攻擊、DNS Flood攻擊等方式。DDOS攻擊會(huì)導(dǎo)致巨大的破壞性：政府網(wǎng)站無(wú)法訪問(wèn)，郵件服務(wù)器癱瘓、ISP鏈路堵塞，用戶(hù)無(wú)法上網(wǎng)、軍事指揮系統(tǒng)癱瘓、運(yùn)營(yíng)商各類(lèi)服務(wù)癱瘓、網(wǎng)銀系統(tǒng)癱瘓，無(wú)法支付、DNS根服務(wù)器癱瘓，無(wú)法解析域名。DDOS的動(dòng)機(jī)主要有政治意識(shí)形態(tài)爭(zhēng)議、在線游戲相關(guān)、恐怖主義惡意破壞、企業(yè)之間的競(jìng)爭(zhēng)、金融市場(chǎng)操縱等。

DDoS攻擊者通常采用假冒的源IP地址而使追蹤變得十分困難。為了能夠找出攻擊源，威懾和懲罰惡意的DDoS攻擊者，各國(guó)研究人員已經(jīng)提出了一系列的追蹤方法。包標(biāo)記是目前研究得最多的一種追蹤方法[1][2]。主要分兩大類(lèi)，第一類(lèi)概率包標(biāo)記(PPM)算法[3]，PPM方案的實(shí)現(xiàn)，經(jīng)歷了從最初的節(jié)點(diǎn)采樣概率包標(biāo)記方案(Node Sampling PPM)到邊采樣概率包標(biāo)記方案( Edge Sampling PPM) ,再到Stefan Savage等人提出的分段概率包標(biāo)記方案( Fragment Marking Scheme,FMS) ,使得概率包標(biāo)記方案能在IPv4協(xié)議中實(shí)現(xiàn)。而后Song等人提出的高級(jí)包標(biāo)記方案和認(rèn)證包標(biāo)方案[2](Advanced and Authenticated Marking Schemes)。第二類(lèi)確定性包標(biāo)記（DPM）算法。DMP僅僅對(duì)邊界路由器進(jìn)行標(biāo)記，可以追蹤到只使用少量數(shù)據(jù)包的攻擊，還能同時(shí)追蹤多個(gè)攻擊者，沒(méi)有額外的帶寬消耗，無(wú)需暴露ISP的拓?fù)浣Y(jié)構(gòu)。典型的有Belenky和Ansari提出的基本DMP算法[4]，以及改進(jìn)的基于HASH摘要的DPM算法[5]。IPv6網(wǎng)絡(luò)還在實(shí)驗(yàn)階段，但發(fā)生在IPv4網(wǎng)絡(luò)中的DDOS攻擊必定在IPv6網(wǎng)路也存在。所以目前大多數(shù)已經(jīng)實(shí)現(xiàn)的IP追蹤技術(shù)研究都是針對(duì)IPv4網(wǎng)絡(luò)。在IPv6環(huán)境中實(shí)現(xiàn)這些IP追蹤技術(shù)需要做相應(yīng)的修改。至今僅有兩種方法是在IPv6環(huán)境下的攻擊源追蹤如：SPIE-IPv6[6]和PPM-IPv6。

1　相關(guān)工作

DPM是IP追蹤技術(shù)中的一種標(biāo)記方法。與其他的IP追蹤技術(shù)相比，確定包標(biāo)記算法只需要邊界路由器進(jìn)行標(biāo)記，可以對(duì)只使用少量包的拒絕服務(wù)攻擊進(jìn)行追蹤，能同時(shí)追蹤上千個(gè)攻擊者，實(shí)現(xiàn)起來(lái)較簡(jiǎn)單[7]。

1.1假設(shè)條件

在開(kāi)始我們的討論前有必要詳細(xì)介紹一下IPv4下的DPM算法。DPM是在以下假設(shè)條件下實(shí)現(xiàn)：

●攻擊者可能意識(shí)到其被追蹤

●包可能丟棄或是順序混亂

●一個(gè)攻擊可能只用了很少的攻擊包

●攻擊包可能經(jīng)過(guò)不同的路由器

●路由器的CPU和存儲(chǔ)器都有限

●路由器可以標(biāo)記一個(gè)包

●路由器不沒(méi)被控制

1.2IPv4下的基本DPM原理

含鈦高爐渣100 g，液固比5，浸出溫度140℃，浸出時(shí)間6 h，攪拌轉(zhuǎn)速400 r/min的條件下，考察了不同鹽酸濃度16%、17%、18%、19%對(duì)CaO、MgO、Fe、Al2O3脫除率及TiO2損失率的影響，結(jié)果見(jiàn)圖3。

IPv4下基本的 DMP算法[2][7]的主要構(gòu)思是在邊界路由器對(duì)進(jìn)入網(wǎng)絡(luò)的IP包進(jìn)行標(biāo)記時(shí)。邊界路由器上與該子網(wǎng)相連的接口對(duì)IP包標(biāo)記，其原理如圖1。邊界路由器進(jìn)行標(biāo)記的接口稱(chēng)DPM接口，DPM接口的IP地址稱(chēng)為IP包的入口地址。DPM利用IP包頭中16位的ID識(shí)別域和Flag域中的保留位RF共17位來(lái)進(jìn)行標(biāo)記。把入口地址分為兩段，包含前16位和后16位。DMP接口每次接收到一個(gè)IP包就會(huì)隨機(jī)的選擇IP包前16位或后16位寫(xiě)入IP包頭的ID域，然后RF位置0或者1.受害端需要重構(gòu)入口IP地址的時(shí)候，需要維護(hù)一張以IP源地址位索引的ingressTbl表，當(dāng)接收一個(gè)IP包時(shí)先檢查它的源地址是否在ingressTbl中，如果不在ingressTbl表中，就需要新建一項(xiàng)并將IP包中的相關(guān)項(xiàng)寫(xiě)入ingressTbl表中。當(dāng)同一源ingressTbl中的入口IP地址的前16位和后16位可以找到時(shí)就可以獲得入口IP地址。

圖1　DPM的基本原理Fig.1 DMP basic principles

1.3基本DPM的問(wèn)題

IPv4環(huán)境下的DPM算法有兩個(gè)典型的缺陷。其一是兩個(gè)攻擊者都利用相同的偽IP源地址(SA)去攻擊同一個(gè)受害者時(shí)。這樣的話在受害端的ingressTbl統(tǒng)計(jì)表中對(duì)應(yīng)的入口IP地址為B0和B1在受害端可以受到四個(gè)IP地址段：B0[0],B0[1],和B1[0],B1[1]。那么在重構(gòu)入口IP地址時(shí)候的組合有B0[0]B0[1],B0[0]B1[1]，B1[0]B0[1],B1[0]B1[1]這樣只有B0[0]B0[1]和B1[0]B1[1]是正確。由于DDOS追蹤性能的最主要評(píng)價(jià)指標(biāo)是假陽(yáng)性，假陽(yáng)性的含義是，這里我們明顯發(fā)現(xiàn)false positive率為50%，這是DDOS追蹤方案難以接受的。且這個(gè)假陽(yáng)性率會(huì)隨著攻擊者采用相同源IP地址的數(shù)量的變大而增加。其二，如果DDOS攻擊者每發(fā)送一個(gè)攻擊包都采用不同的IP源地址，那么因?yàn)樵谑芎Χ说膇ngressTbl統(tǒng)計(jì)表中，每一IP攻擊包最多只有IP地址的前16位或者是后16位，根本不能構(gòu)造一個(gè)完整的入口IP地址。針對(duì)基本DPM算法中的兩種不足文獻(xiàn)[5]提出了基于Hash函數(shù)的DPM（Hash-based DPM,HDPM[6]）算法。不過(guò)HDPM算法的隨機(jī)性重構(gòu)時(shí)需求大量的數(shù)據(jù)包并且需要大量的數(shù)據(jù)處理工作，HDPM算法就算理想的HASH條件下的false positive率也很高，且最大能追蹤到的攻擊源為2048。在IPv6環(huán)境下依然保持這樣設(shè)計(jì)思想，由于IPv6包頭與IPv4包頭的區(qū)別使得以上問(wèn)題不會(huì)產(chǎn)生。

2　IPv6下確定性包標(biāo)記（DPM）追蹤

隨著IPv6de 廣泛使用，能否在IPv6環(huán)境下實(shí)現(xiàn)DPM算法并且避免IPv4環(huán)境下的不足呢，我們首先分析IPv6的頭部[1][8]。IPv6的數(shù)據(jù)包頭簡(jiǎn)單但比IPv4包頭長(zhǎng)如圖2所示。

圖2　IPv6首部結(jié)構(gòu)Fig.2 IPv6 header structure

2.1逐跳選項(xiàng)中的單獨(dú)選項(xiàng)

IPv6環(huán)境下進(jìn)行包標(biāo)記，也需要有域來(lái)存儲(chǔ)標(biāo)記信息，我們可以利用流標(biāo)簽域和逐跳選項(xiàng)擴(kuò)展頭部。如果使用流標(biāo)簽會(huì)有兩個(gè)不足的地方，其一，流標(biāo)簽字段不能用于特殊的目的，其二，大量的計(jì)算數(shù)據(jù)。

圖3展示了IPv6數(shù)據(jù)包頭原理。

圖3　逐跳選項(xiàng)首部Fig.3 The hop-by-hop option header

2.2標(biāo)記過(guò)程

由于IPv6包標(biāo)記追蹤方案是在一個(gè)數(shù)據(jù)包中記錄一個(gè)完整IP地址，IPv4環(huán)境下至少需要2個(gè)或2個(gè)以上的數(shù)據(jù)包來(lái)記錄一個(gè)IP地址。這樣的話，如果攻擊者采用的攻擊數(shù)據(jù)包不是特別大，在IPv4環(huán)境的DPM算法需要提高隨機(jī)標(biāo)記的概率，以滿足受害端有足夠的數(shù)據(jù)包，來(lái)還原攻擊源的IP地址。在IPv6環(huán)境下，因?yàn)槲覀冎灰袛?shù)據(jù)包把邊界路由器IP記錄了，受害端只要收集到一個(gè)數(shù)據(jù)就可以追蹤到攻擊源的IP地址。本文以5%的概率在邊界路由器對(duì)進(jìn)入子網(wǎng)的數(shù)據(jù)包進(jìn)行隨機(jī)標(biāo)記，不需要進(jìn)入子網(wǎng)的所有數(shù)據(jù)包進(jìn)行標(biāo)記。且這個(gè)數(shù)據(jù)在整個(gè)子網(wǎng)中傳輸?shù)倪^(guò)程也不會(huì)被改變和覆蓋。

圖4　DPM接口標(biāo)記原理Fig.4 DPM interface marking principle

包標(biāo)記過(guò)程代碼如下圖所示：

2.3重構(gòu)過(guò)程

IPv6環(huán)境下DPM算法受害端重構(gòu)原理如圖5所示，，計(jì)算量相比IPv4的方案有量級(jí)上的下降。受害端接收到一個(gè)數(shù)據(jù)包時(shí)，把它加入緩沖器中。檢查數(shù)據(jù)包是否存在的traceOption項(xiàng)，如果沒(méi)有traceOption項(xiàng)丟棄這個(gè)數(shù)據(jù)包，如果存在的話，把它加入到受害端中重構(gòu)表中。通過(guò)這個(gè)數(shù)據(jù)表就可以追蹤到進(jìn)入子網(wǎng)的邊界路由器的IP地址。

圖5　IPv6下DPM重構(gòu)原理Fig.5 reconfiguration principle of DMP In IPv6

3　實(shí)驗(yàn)結(jié)果分析

我們的目的是探究適用與IPv4環(huán)境中的DPM算法在IPv6中的可行性。實(shí)驗(yàn)表明改進(jìn)的DPM算法在IPv6環(huán)境中具有同等的效果，且效率高易于實(shí)現(xiàn)。我們模擬了路由器來(lái)標(biāo)記包也模擬了受害端重構(gòu)攻擊源。我們從自己整理的路徑數(shù)據(jù)庫(kù)中每次選擇20，50，100…,1000,…4000等不同攻擊者數(shù)目進(jìn)行標(biāo)記和重構(gòu)模擬，且取實(shí)驗(yàn)室30次的平均值。我們重構(gòu)是記錄重構(gòu)出來(lái)的攻擊者數(shù)目和重構(gòu)需要的時(shí)間。圖6和圖7分別是false- negative(被定義為是攻擊路徑或是攻擊者而沒(méi)被追蹤到)。從實(shí)驗(yàn)結(jié)果可以看出，由于IPv6頭部結(jié)構(gòu)的改變，在逐跳擴(kuò)展頭部新增選項(xiàng)能完整標(biāo)記DMP接口的IP地址。IPv6環(huán)境下的DPM算法不僅具備可行性，F(xiàn)alse-nagetive 率不到2%，以及重構(gòu)攻擊源所用時(shí)間攻擊者數(shù)目達(dá)到4000時(shí)不到2分鐘。

圖6　產(chǎn)生的False-nagetiveFig.6 The false-nagetive rate

圖7　重構(gòu)攻擊源的時(shí)間Fig.7 Refactor the attack sourct time

4　結(jié)束語(yǔ)

目前，針對(duì)DDOS攻擊追蹤的算法中，最典型的兩種算法是：確定包標(biāo)記（DPM）與概率包標(biāo)記（PPM），相比較而言，DPM算法易于實(shí)現(xiàn)，計(jì)算量較小，克服了欺騙包標(biāo)記缺陷，大家研究的DPM算法都是基于IPv4環(huán)境下的，隨著IPv6的發(fā)展和廣泛應(yīng)用，IPv6環(huán)境下的DDOS追蹤方案意義巨大。本文在確定性包標(biāo)記算法的基礎(chǔ)上，分析了IPv6數(shù)據(jù)包的結(jié)構(gòu)，利用其特殊優(yōu)勢(shì)，提出了IPv6環(huán)境下的一種新的改進(jìn)確定性包標(biāo)記（DPM）算法。該算法以極少的帶寬代價(jià)實(shí)現(xiàn)了利用單個(gè)數(shù)據(jù)包就可以追蹤到攻擊源，并且重構(gòu)攻擊源用時(shí)少，可追蹤的攻擊者數(shù)目大。

[1]楊小紅、謝冬青.基于確定性包標(biāo)記算法的DDOS追蹤方案研究.YANG Xiaohong,XIE Dongqing.Research on DDOS Fracking Scheme based on deterministic packet marking algorithm.(in Chinese)

[2]楊小紅，謝冬青，周再紅，陳天玉.基于MAC認(rèn)證的新型確定性包標(biāo)記[J].計(jì)算機(jī)工程，2010,36（16）:148-151.YANG Xiaohong,XIE Dongqing,ZHONG Zaihong,CHEN Tianyu.New deter ministic packet marking based on MAC authentication,Computer engineering.2010,36(16)pp.148-151.(in Chinese)

[3]S.Savage,D.Wetherall,A.Karlin,et al.,"Practical network support for IP traceback",in Proc.ACMSIGCOMM,Stockholm,Sweden,2000,pp.295-306.

[4]Song DX,Perrig A.Advanced and authenticated marking schemes for IP traceback.In:Proc.of the IEEEINFOCOM 2001.http://www.ieee-infocom.org/2001/program.html

[5]A.Belenky,and N.Ansari,"IP Traceback With Deterministic Packet Marking",IEEE Communications Letters,Vol.7,No.4,2003,pp.162-164

[6]A.Belenky and N.Ansari,“Tracing Multiple Attackers with Deterministic Packet Marking,” IEEE PACRIM’03,August 2003.

[7]W.Timothy Strayer,et al SPIE-IPv6:Single IPv6 Packet Traceback,Local Computer Networks,2004.29th Annual IEEE International Conference on 16-18 Nov.2004.

[8]A.Belenky and N.Ansari.On deterministic packet marking.The International Journal of Computer and Telecommunications Networking,July,51(10):2677-2700,Jul 2007.

[9]S.Deering,R.Hinden,Internet Protocol,Version 6(IPv6) Specification,RFC 2460,IETF,December 1998.

【責(zé)任編輯：毛蔚】

Deterministic Packet Marking Scheme in IPv6

YANG Xiaohong1,ZHENG Weikun1
（1.Shenzhen Institute of Information Technology information Center,Shenzhen 518172,China）

The motivation of IP traceback is to identify the true source of IP attack datagram and they can facilitate stopping on-going attacks.The current IP traceback technologies log the address of routers the packet passed by overloading the 16_bit IP Identification field used for fragmentation in the IPv4 header and they cannot be applied to IPv6.This paper elucidate the implementation of deterministic packet marking scheme on IPV6 network.This algorithm overcomes two typical defects of DPM algorithm in IPv4 environment,and is easy to implement and has high tracking efficiency,and has the function of single packet tracking attack source.

IPv6；DDOS；IP traceback; DPM

TP393.08

A

1672-6332（2016）03-0037-05

2016-09-12

市廳級(jí)資助項(xiàng)目（JCYJ20130401095947222）；校級(jí)資助項(xiàng)目（lg201416）

楊小紅（1982-），女（漢），碩士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。E-mail：yangxh@sziit.edu.cn