|
摘要:本文详细介绍了DOS手段,详细和系统的介绍了现有的IP追踪研究现状,以及现有方法的评价和比较,对其优缺点和局限性等作了分析。同时,对于已经开始使用的IPv6网络和无线自组网络下IP追踪需要注意的一些问题和目前的研究现状作了简单介绍。并在这些基础上,探讨了IP反向追踪技术的进一步发展和研究的方向。
关键词:DOS攻击 反向追踪 IPv6 移动自组网络
IP反向追踪技术(IP traceback)就是指用来确定IP数据包的发送源地址的有效方法。由于攻击者发送的IP包中的信息可能是虚假的(比如通过IP欺骗等手段隐藏攻击者的IP地址),因此,实际中,我们很难追踪到实际的攻击者。IP反向追踪的目标就是定位到数据包的源发送主机。怎么能追踪到攻击的发起方,对于识别和阻止攻击以及追究责任等方面都显得非常重要。
IP反向追踪,就是要定位出攻击源并采取响应的保护措施。目前已知的IP反向追踪途径都是针对DOS攻击的。一方面,是因为目前的网络攻击中DOS攻击比较普遍,入门很低,网上流传有很多进行DOS攻击的工具和软件。更重要的,是目前的IP反向追踪技术基本上都是需要大量的数据包来重构整个攻击路径,从而达到定位攻击源的目的,而DOS攻击一般就是通过发送大量数据包来消耗网络资源,来使其无法正常提供服务。
由于目前的Internet网络的无状态性,在利用IP地址欺骗所进行的DOS攻击中,直接定位出攻击源都是很困难的。从目前的反向追踪的技术来看,重构攻击路径时,大多只能定位到攻击源源路由器,甚至都无法直接定位到实际发起攻击的主机(或者傀儡机)。但是从IP反向追踪的难度来说,依次是追踪到攻击源所在的边界路由器、攻击源主机、发起攻击的人,难度是越来越大的。定位到攻击源路由器只是IP反向追踪的第一步。可以缩小调查的目标范围。
现有的反向追踪技术中,无论是概率性包标记(Probabilistic packet marking)还是确定性包标记(Deterministic packet marking)还是基于Hash的IP反向追踪SPIE(Hash-Based IP traceback)还是ICMP反向追踪iTrace(ICMP traceback)以及链路测试(link testing)等等,这些方法都有各自的局限性。而且在针对DDOS和RDOS等分布式拒绝服务攻击的追踪中,一般会有成百上千条的攻击路径,目前的反向追踪技术也无法完全准确的识别所有的攻击路径。即重构出来的攻击路径可能实际并没有参与DOS攻击(false positive),也有可能实际参与DOS攻击的路径却并没有被重构出来(false negative)[5]。因此,重构出来的路径的正确性和完备性以及重构所需要的时间空间开销时比较这些方法优劣的主要因素。也是怎样对已有技术进行改进的参照依据。
正是由于IP追踪主要要解决的就是IP欺骗的问题,因此,有人提出了输入信息过滤(Ingress filtering),来防止IP欺骗[4]。Ingress filtering即在路由器的入口处对进来的数据包进行检查,查看其源IP地址是否是该路由的合法的数据源地址。这样,如果网络中的所有时的路由器都配置了Ingress filtering,那么,IP追踪问题就会相对变得更简单。正因为如此,Ingress filtering已经被IETF组织采纳成为预防IP欺骗的DOS攻击的手段。当然,Ingress filtering并不能完全解决IP欺骗的问题,因为,攻击者依旧可以伪造成路由器入口处所容许范围内的IP地址。但是不管怎样,随着Ingress filtering在路由器上的广泛配置,DOS攻击中攻击源地址的范围已经得到了很大程度上的削减。
但IP欺骗依然存在,而且目前并不是网络中的所有的路由器都配置了Ingress filtering技术,因此,研究IP反向追踪的技术依旧有很重要的价值。
本文将在第2节介绍一下目前DOS攻击的手段。在第3节将介绍目前现有的IP反向追踪技术。第四节会对于现有的IP追踪技术进行比较,包括局限性和它们的改进方法等。第五节和第六节会分别对IPv6网络环境下以及无线网络环境下, IP反向追踪需要解决的一些问题。最后,对现有的追踪方法进行总结,并对将来IP反向追踪的发展方向进行谈谈我们自己的看法。
DOS攻击
由于目前的IP反向追踪主要是针对DOS攻击的研究,在具体讲述IP反向追踪技术之前,先简单介绍一下DOS攻击。
DOS(Denial of service)就是拒绝服务的缩写。其基本原理就是通过构造大量连接来设法消耗目标服务器的消耗网络带宽或系统资源(包括磁盘空间、进程、内存等),导致网络或系统不胜负荷以至于瘫痪而停止为合法用户提供正常的网络服务,也有可能是通过发送畸形的数据包,直接crash掉服务。无论怎么样,其目的都是一样的,就是设法让其瘫痪,无法正常提供服务。在DOS攻击中,为了防止被服务器管理员追查到,一般都会使用IP欺骗的手段,构造大量虚假的连接请求,来达到攻击的目的。目前一般DOS攻击的目标是一些web服务器等,但也可以是任何网络设备,包括路由器、电子邮件服务器等。DOS攻击除了会使服务器瘫痪外,也会给整个局域网内的其他机器带来影响,消耗整个网络的贷款。
DOS攻击是目前Internet上面使用较多的攻击方式,由于DOS攻击只需要对于TCP/IP有一定的了解,但并不需要对于有太深的专业知识和技巧,并且网络上流传有很多的进行DOS攻击的工具,加之DOS攻击对于服务器的影响又很大,会造成服务瘫痪。因此,对于DOS攻击的检测和追踪的研究很有实际意义。
DOS攻击有多种方式,包括SYN泛洪攻击(SYN floods)、LAND攻击(LAND attack)、ICMP泛洪攻击(ICMP floods)、UDP泛洪攻击(UDP floods)、泪滴攻击(Teardrop attack)等等。
SYN泛洪攻击(SYN floods):攻击方发送大量的伪造SYN包,使服务器建立大量的半连接,造成服务器的连接队列被填满,无法响应其它合法用户的访问请求。
Land攻击(Land Attack):黑客通过发送精心构造的SYN 包来发起攻击,它的源地址和目标地址都被设置成目标服务器地址。导致服务器自己和自己之间建立一个空连接,因此发送大量这种数据包,会使得服务器的资源耗尽。
ICMP泛洪攻击(ICMP floods):向服务器发送大数量的ICMP数据包,使得服务器的TCP/IP栈瘫痪并停止响应TCP/IP请求。
UDP泛洪攻击(UDP floods):随机向服务器的某些端口发送UDP数据包,当这个端口没有应用程序在等待数据接收时,服务器会回送一个ICMP数据包。当攻击者伪造大量的UDP数据包时,会大量消耗网络带宽。
泪滴攻击(Teardrop attack):利用TCP/IP中碎片重组代码中的一个漏洞,通过发送精心构造的IP碎片来使得操作系统崩溃。达到DOS攻击的效果。
除了上面几种常用的攻击手段外,目前为了进行更充分有效的攻击,发展除了分布式DOS攻击DDOS(Distributed denial of service)以及离散式反射型DOS攻击RDOS(Distributed reflected denial of service attackt)等。由于攻击是分布式的,因此,攻击的效果更好,而且更难于追踪到实际的攻击者。
DDOS(Distributed denial of service)即分布式拒绝服务攻击。这是目前黑客经常采用而且难于防范的攻击手段。由于单一的DOS攻击一般是一对一的方式,对于处理能力大、内存大的服务器来说,DOS攻击的效果并不是很明显。相对于DOS,DDOS是由多台机器同时使用上面的DOS攻击手段来向目标服务发起DOS攻击,来消耗网络带宽。因此,DDOS攻击的效果明显会比单一的DOS更好。一般来说,黑客组织内部之间会共享一些被攻陷的主机,也就是傀儡机,黑客可以通过上百个的傀儡机来同时向某一个目标发起DOS拒绝服务攻击。而在IP反向追踪时,由于有很多个攻击源,在识别和追踪起来也更困难,即便是成功的重构出了所有的攻击路径,也只能追踪到这些傀儡机。
RDOS(Distributed reflected denial of service attackt)即离散式反射型拒绝服务攻击。在这种攻击中,攻击者会向Internet网络上大量主机发送大量的数据包,并将这些数据包的IP地址伪造成攻击目标服务器的IP地址,然后,当这些主机响应时,响应就会都直接发送到受害目标服务器方,从而消耗服务器的网络带宽。RDOS攻击效果比普通的DOS攻击更好,而且,由于其分布式的特性,也难于识别攻击的实际发起者。
无论是DDOS还是RDOS,从目前的IPV4网络环境和目前的反向追踪技术来看,追踪到攻击发起者几乎是不可能的。
反向追踪技术
IP追踪技术的关键需求包括:与现有网络协议的兼容;网络业务开销可以忽略;支持新增的实现;与现有的路由器和网络结构兼容;对付DDoS 攻击的有效性;在时间和资源方面的最小开销;应该不需要ISP合作;追踪的成功不应该取决于攻击的持续时间。
根据IP追踪的主动程度,可以将现有的IP追踪技术分为两大类:主动追踪和反应追踪。主动追踪技术为了追踪IP源地址,需要在传输数据包时准备一些信息,并利用这些信息识别攻击源。主动追踪方法在数据包通过网络时记录追踪信息,受害主机可以使用产生的追踪数据重建攻击路径,并最终识别攻击者。主动追踪包括数据包记录、消息传递和数据包标记。而反应追踪却是在检测到攻击之后,才开始利用各种技术从攻击目标反向追踪到攻击的发起点。必须在攻击还在实施时完成它们,否则,一旦攻击停止,反应追踪技术就会无效。输入调试和可控拥塞属于反应追踪措施。大部分反应追踪需要很大程度的ISP 合作,这样会造成大量的管理负担以及困难的法律和政策问题,因此有效的IP追踪方法应该需要最少的或者根本不需要ISP合作[10]。
反应方式
链路测试(Link Testing)
链路测试(有时也称为逐段追踪)法通过测试路由器之间的网络链路来确定攻击业务源头。大部分技术从最接近受害主机的路由器开始,测试它的输入(上行)链路以确定携带业务的路由器。如果检测到了有电子欺骗的数据包(通过比较数据包的源IP地址和它的路由表信息),那么它就会登录到上一级路由器,并继续监控数据包。如果依旧检测到有电子欺骗的扩散攻击,就会登录到再上一级路由器上再次检测电子欺骗的数据包。重复执行这一过程,直到到达实际的攻击源。链路测试是反应追踪方法,要求攻击在完成追踪之前都一直存在。输入调试和受控淹没是链路测试方法的两种实现方法[10]。
输入测试(Input debugging)
原理
许多路由器都存在这种特性:管理员能够确定特定数据包的输入网络链路。如果路由器操作人员知道攻击业务的特定特性(称为攻击特征),那就有可能在路由器上确定输入网络链路。
首先,从所有数据包中描述出攻击包标志(攻击特征),管理员在路由器的出口端配置合适的Input debugging, 从而找到相关的输入端口沿输入端口逐级向上,直到找到攻击源头或超出ISP控制范围。
优点
与现有协议兼容, 网络业务开销可以略,支持新增的实现, 与现有的路由器和网络基础结构兼容。
缺点
依靠手工,需各ISP进行合作,不太适合DDoS。
受控淹没(Controlled Flooding)
原理
受控淹没技术是从受害网络向上游网络段产生一个网络业务突发,制造flood攻击,通过观察路由器的状态来判断攻击路径。当受到攻击的时候,可以从受害主机的上级路由器开始依照周围已知的Internet拓扑结构图对上游的路由器进行淹没攻击,增加路由器丢包的可能性。通过这种方式沿路径图不断向上进行,就能够接近攻击发起的源头
优点
与现有协议兼容 ,支持新增的实现, 与现有的路由器和网络基础结构兼容。
缺点
本身就是一种DOS攻击,要求有一个几乎覆盖整个网络的拓扑图,不太适合DDoS,可能需要ISP合作。
主动方式
数据包记录
数据包记录方法指通过Internet的关键路由器上记录数据包,然后使用数据钻取技术提取有关攻击业务源的信息。这个方法可以对攻击业务做出准确分析(即使在攻击已经停止之后),但是它的最大缺点是保存记录所需要的大量处理和存储能力,且存在法律及保密问题。
Alex Snoeren等提出了一个新的数据包记录和IP追踪方法,称为SPIE(Source Path Isolation Engine)。他们不是存储整个数据包,而是只在称为Bloom Filter的有效存储结构中存储它的相应固定部分的Hash 摘要。为了完成IP追踪请求,数据搜集网络和遍布不同网络的分析代理可以使用这个方法提取重要的数据包数据,并且产生合适的攻击图,从而识别攻击业务的源头。
当前基于数据包记录的追踪方法使用滑动时间窗来存储记录的数据,从而避免了在攻击正在进行时或者攻击发生后不久捕获攻击时需要过多的存储和分析需求 (因此,所需的记录数据依旧可以使用)。
数据包记录法与现有路由器、网络结构和协议兼容,并且允许在攻击后分析,而且可以追踪单个数据包。但是由于数据包记录法在处理和存储需求方面是资源密集性的,在多个ISP之间共享记录信息存在法律和保密问题,不太适合DDoS[10]。
消息传递
消息传递方法利用加载了跟踪机制的路由器(称为iTrace 路由器)以很低的概率发送一种特殊定义的ICMP数据包。ICMP数据包包含局部路径信息:发送它的路由器的IP地址、前一跳和后一跳路由器的IP地址以及它的身份验证信息。通过查找相应的ICMP追踪消息,检查它的源IP地址,可以识别经过的路由器。由于为每个分组创建一个ICMP追踪消息增加了网络业务,所以每个路由器以1/20,000的概率为要经过它传输的分组创建ICMP追踪消息。如果攻击者发送了许多分组(例如,在扩散类型的攻击中),那么目标网络就可以收集足够的ICMP追踪消息来识别它的攻击路径。该算法的缺陷在于产生ICMP 追踪消息数据包的概率不能太高,否则带宽耗用太高,所以该算法在攻击数据包数量很多时才比较有效。
iTrace机制的缺点在DDoS攻击中变得更加明显。在这类情况下,选择攻击数据包的可能性比使用的抽样速率小得多。受害主机可能会从最近的路由器获得许多ICMP追踪消息,但是很少是由接近僵尸主机的路由器产生的。为了克服这个缺点,研究人员对iTrace提出了一种改进方法,称为Intension驱动的ICMP追踪。这个技术分开了判决模块和iTrace产生模块之间的消息传递功能,接收网络为路由表提供了特定的信息以指出需要ICMP追踪消息。在路由表中提供的特定信息的基础上,判决模块将选择接着使用哪类数据包来产生iTrace消息。然后,iTrace产生模块处理这个被选中的数据包,并且发送一个新的iTrace消息。Intention驱动的追踪还允许无论接收网络是否想接收iTrace 数据包,都可以发信号,这就增加了对接收网络有用的消息比例。如果特定网络怀疑或者检测到它正遭到攻击,那么这种方法也很有用。它可以向上游路由器请求iTrace数据包,以识别攻击业务的源头[11]。
消息传递方法的优点是:与现有路由器和网络体系结构及协议兼容,支持新增的实现;如果用加密和密钥分配机制实现,为对付拒绝服务攻击提供了一个非常有前景和可扩展的技术;不需要ISP合作,允许在攻击之后分析。
消息传递方法对追踪消息使用了非常低的概率,但还是产生了额外的网络传输任务;如果不使用密码分配的加密体制,攻击者就可以在数据包中加入假的ICMP追踪消息;由于会在多个常见攻击情况中使用ICMP业务,所以公司会越来越多地过滤ICMP业务 在DDoS机制中,只有非常少的ICMP追踪消息来自远端路由器(但是会通过intension驱动的ICMP追踪解决这个问题);此外,重建攻击路径需要较长时间(约30分钟),也是消息传递方法的一大缺陷[10]。
数据包标记
数据包标记方法是在被追踪的IP 数据包中插入追踪数据,从而在到目标主机的网络上的各个路由器上标记数据包。数据包标记的最简单的实现是使用记录路由选项在IP头的选项字段中存储路由器地址。
Stefan Savage等人在2001年提出了利用随机业务抽样和压缩的数据包标记算法。依赖随机数据包标记(PPM)的追踪机制使用概率为1/25 的随机抽样,从而避免了路由器数据包标记的过多开销。此外,每个数据包只存储它的路由信息的一部分,而不是整条路径的信息。而且如果攻击数据包足够多,就可以保证受害主机重构攻击路径上的每一个路由器[12]。
压缩的边缘分段抽样技术(CEFS)已经成为最著名的IP追踪机制之一。要执行一次成功的追踪,受害者必须搜集足够的数据包来重建攻击路径的每个边缘和完整的攻击图。但是这在DDoS 攻击中非常困难,因为正确地将分段和编码的路径边缘组织在一起很困难。
Dawn Song和Adrian Perrig对Savages的基于边缘识别PPM 的方法提出了改进,通过存储每个IP地址的Hash 值(而不是地址本身)进一步减少了存储需求。这种方法假设受害主机拥有所有上游路由器的完整网络图。在重新组装边缘分段之后,该方法将产生的IP地址Hash值与从网络图得到的路由器IP 地址Hash 值相比较(以便于重建攻击路径)。这个改进方法比以前的方法对于DDoS 攻击更加有效[13]。
数据包标记技术实现成本较低,适用于现有的路由器和网络体系结构,对DDoS很有效,不需要ISP合作,允许在攻击之后分析。但是,数据包标记技术的使用需要改进协议,不能用于IPv6,并且与IPSec不兼容,还有可能产生不属于攻击路径的假阳性路径[10]。
优缺点比较:
人工管理量
网络负载
路由器负载
对分布式攻击追踪能力
事后处理能力
入口测试
高
低
高
好
差
受控淹没
低
高
低
差
差
数据包记录
高
低
高
优
优
数据包标记
低
低
低
优
优
ICMP 追踪
低
中
低
优
优
目前提出的所有IP追踪机制都有它们自己特定的优点和缺点。没有一种解决方案可以实现有效追踪方法所规定的所有需求。但是数据包标记算法和ICMP追踪技术比较可行将会成为未来的主要研究方向。如果想根本的解决IP追踪的问题,必须寄托在下一代互联网上实现。
IPv6
IPv6是由于上世纪九十年代IP地址空间短缺而得到发展的,在IPv6中,IP地址由IPv4中的4个字节扩展到了16个字节。除此之外,也针对当时IPv4的种种不足和暴露出来的问题,进行了很多的改进,其中就有安全问题方面的改进。
IPv6相对于IPv4在安全性方面的一个重大改进就是将IPSec集成到了IPv6协议中,能够提供端到端的安全服务,并且显著的提升了IPv6的安全性。但是IPv6并没有解决所有的安全性问题,随着时间的增长和IPv6的普及,IPv6的所暴露出来的漏洞会越来越多。即便是目前来说,IPv6已经暴露出一些问题,和IPv4一样,也会受到DOS等各种攻击。因此,研究IPv6中反向追踪技术也是非常必要的。但目前来说,关于IPv6这方面的研究还很少。
事实上,由于IPv6中地址冲突问题的处理过程和IPv4并没有太大改变,也就是说。在IPv6中,攻击者依旧可以通过伪造本地已经存在的IP地址来进行DOS攻击[2]。
另外,我们知道IPv4报头中的源路由信息确定了从发送源到接收方的逐跳路由路径,但是实际上,从安全角度来看,这会引发欺骗攻击,因此,在没有必要使用的情况下应该将源路由禁用。但是实际上,在IPv6中,依旧存在,不过是用路由报头取代了源路由选项,而且要在IPv6网络中支持移动IP功能的话,必须使用路由报头。这就增加了IPv6的不安全性[2]。
上面只是IPv6中暴露的一小部分安全问题。目前对于IPv6网络中反向追踪的研究本来就很少,而且集中在比较IPv6和IPv4中的不同,讨论IPv4中的追踪技术在IPv6中需要怎样经过修改来适应新的情况。
我们需要先了解一下IPv6的报头结构,IPv6报头的大小比IPv4的报头大小要大了两倍。去掉了IPv4中一些无关紧要的字段,将其放在扩展报头中。并增加了Flow Label、Traffic Class、Payload Length等字段。
Version
Traffic Class
Flow Label
Payload Length
Next Header
Hop Limit
Source Address
Destination Address
IPv4中的基于Hash的路由记录追踪方法能够比较有效的反向追踪,是因为IPv4中报头的目标地址(Destination Address)字段是固定不变的,填的始终是最终的目标地址。但是在IPv6中,情况有些不一样。如果在IPv6中使用了源路由,那么目标地址(Destination Address)字段中填的将不会是最终的目的地址。而是会被路由器设为源路由路径中下一跳的地址。IPv4中基于Hash存储的SPIE方法将在IPv6中不再适用,因为IPv6报头中的Destination Address字段是有可能改变的。这样在容许源路由的情况下,SPIE在进行反向追踪的时候,只能追踪到路由路径上最后一个路由器,也就是直接转发给目标地址的路由器。因此Henry等人提出了修正的方案。指出了两种解决途径。
比较直观的一种就是在每一个路由器上,对于所有经过的数据包,将其最终的目标地址从源路由路径中提取出来,替换掉IPv6报头中的目标地址(Destination Address)字段,再对整个数据包取其Hash摘要并存储记录起来[1]。经过这样修正之后,就类似于IPv4中的SPIE追踪方法。但是它的缺点在于包经过的每一个路由器都需要处理包的源路由路径,而不管当前路由器是否处于源路由中。因此,这会带来额外的计算开销,给路由器的性能带来很大影响。
基于上面的缺点,Henry又提出了另外一种基于路由记录追踪的修正方法,目的地址转换记录[1]。只有当当前的路由器处于源路由路径上,除了记录IP包外,还要记录由于源路由路径所引起的目标地址字段变化并提供查询。这样,路由器的计算开销相比起来要小很多。而且,在反向追踪的时候可以根据目的地址字段变化记录来重构出攻击的路由路径。
除了基于路由存储的追踪方法外,Emil Albright等人也提出了IPv6中基于概率包标记的修正方法[3]。由于在IPv4的概率包标记的过程中,需要用ID字段来记录路由路径上链路的信息。在IPv6中,这些无关紧要的字段已经被移到扩展报头中,因此,选择的余地比较少。从IPv6报头的几个字段来看,20-bit的Flow Label字段比较合适,因为,路由器是不会去改变路标签的。但是这会带来一个问题,在支持流标签的路由器中,如果被修改后的流标签字段和经过改路由器的某一个流的流标签相同,那么他们将会共享整个流的源地址和目的地址。因此,这有可能会扰乱路由器的工作。Emil Albright提出的包标记方法中,使用Flow Label字段的20-bit,其中6-bit用来作距离域,而另外14-bit用来作为边标记域。每一个路由器以一定的概率来对数据包进行标记。在标记的时候,会将当前的路由器地址做一个14-bit的Hash变换,然后,存入14-bit中,并将距离域置0,在下一个路由器中,将路由器的地址的14-bitHash值与数据包中原来Flow Label中的14-bit作异或运算,并写回Flow Label中,以后,将距离域加1。这样修改后,当被攻击者收到了足够多的包时,也就可以重构出攻击路径。
目前IPv6中IP追踪的研究基本上都是在修正IPv4中已有的追踪方法。这一方面是和IPv6还没有普遍使用有关,另一方面,也可能是因为对于IPv6中的安全性过于自信。相信随着IPv6中暴露出来的安全问题越来越多,会有更深入的研究,来根据IPv6的特点,提出更简单更可靠的追踪方法。
MANET
MANET(Mobile Ad-Hoc Network)即移动无线自组网络,由一些移动无线节点组成,节点之间自动建立路由和链接。每个节点都作为路由器,为其它节点转发数据包。MANET适用于没有网络基础设施或者是网络设施不可靠的情况下的通信,在军事、探测、偏远地区等有很广阔的应用。MANET具有一些特性,首先,由于移动节点的网络拓扑结构是动态的,网络必须不断的扫描链路和建立通信路径,动态的改变路由。另外,网络是分布式的控制方式,各节点没有主要和次要之分,任何节点都会作为路由器转发数据包,还有,不像有线网络中的路由器都会得到很好的保护,MANET中的节点却不一定是可信任的。
目前对于MANET网络中的反向追踪技术研究也相当少。一方面是普通IPv4网络中尚没有关于反向追踪的很好的解决方案。另一方面,MANET的动态路由方式使得反向追踪的问题变得更复杂。
Thing, V.L.L和Henry等人在2004年针对现有的反向追踪技术在MANET网络中做了模拟,主要模拟了PPM和iTrace在MANET网络中的效果[9]。针对网络中节点的数量,PPM和iTrace中概率参数的选取,以及攻击路径的数目,还有不同的通信协议来分别做了不同模拟和比较。从文中给出的模拟结果来看,是比较悲观的。无论是PPM还是iTrace,在只有一个节点发起攻击的情况下,在追踪时需要的包的数量比较小的时候(跟PPM和iTrace选定的概率值相关),都可以成功找出攻击路径。但是,当网络节点数增加,需要收集的数据包增多时,由于路由的动态变化,使得会有多条路径链接攻击者和受害主机。当然,反向追踪并不需要把所有路径重构出来,只需要找出攻击源。但是在多个节点发起攻击的DDOS攻击中,需要重构出所有路径,但在这样的情况下,最好的模拟结果也只是能重构出44.4%的攻击路径[9]。
因此,由于MANET的动态路由的特性,使得目前现有的这些追踪方法在MANET中将不再适用。应该根据网络的特性来设计更合理的追踪方法。或者针对MANET网络的特性来对已有的追踪手段进行修正。但是目前MANET网络中反向追踪的研究进行得很少。Huang Yi-an等人在2005年针对现有的基于Hash的反向追踪技术SPIE进行了修改,设计了一种新的TBF(Tagged Bloom Filter)方法来适应MANET网络的特性。TBF除了对于经过的数据包进行记录外,还会记录当前数据包的TTL值以及当前节点在当前时候的邻居列表[7]。这样,即使是在动态路由的情况下,记录的每一个包都是可以被利用来进行反向追踪的。
目前MANET网络中的反向追踪技术还处于初步研究阶段,研究成果很少,还有很多问题需要解决,属于具有开创性的研究工作。而且,MANET相对于普通网络来说,限制条件更多。这些,都限制了MANET中反向追踪技术的发展。
总结
本文对于现有的反向追踪技术做了一个总结。对于现有技术的优缺点和局限性做了比较,并且对于不同网络环境(比如IPv6,MANET等)中的反向追踪的进展情况也做了大致的介绍。
目前的这些反向追踪技术本质上来说可以归为3类:
(1)直接向路由器动态查询。比如链路测试等。
(2)建立一个虚拟的叠加网络,并在此之上来有选择进行监听。比如SPIE等。
(3)通过大量数据包来重构攻击路径来。比如PPM,iTrace等。
现有的这几类技术各有各自的局限性,第一类只适用于实施追踪,如果攻击的持续时间很多,就无法发挥作用,而且,这类方法需要ISP之间的的配合和协作。第二类对于路由器的存储和计算开销较高,而且,在网络中的配置的费用也非常高昂。第三类方法在重构路径时需要接收到大量的数据包才能进行,也就是需要攻击持续时间较长,而且需要攻击源的源路由器的支持,否则只能追踪到最近的那个支持标记的路由器。
我们觉得,在比较追踪技术的优劣的时候,有几个因素是很重要的。
(1) 追踪的性能:这包括好几方面,比如需要的时间和空间代价,以及计算开销。
(2) 健壮性:当面对DDOS和RDOS等攻击时,重构出的路径的正确性和完备性。
(3) 配置开销:将技术应用到现有的Internet网络上的开销,包括维护和管理费用等。
(4) 扩展性:是否有扩展性,是否能适应各种不同的网络环境。
目前还没有有效的方法能够同时满足所有的这些因素。目前也没有那种技术实际配置在Internet中使用,因此,即便是IP追踪已经研究了将近十年,但是依旧停留在模拟阶段。从目前的发展状况来看,上面的三类追踪方法都有人在研究和改进,主要的目的就是能够更好的满足上面所罗列的各因素。可以说,这几个方面是对于追踪方法的一些度量准则。
实际上,IP追踪的目标是,定位到攻击主机,或者退一步说,定位到攻击的源路由器。但是由于IPv4的无状态特性,使我们需要从被攻击方,一步步来查找到攻击源。IPv6提供了无状态和全状态的选择,但是,这种灵活性的配置,使得攻击者可以发起无状态的连接。虽然很多人寄望IPv6能够解决反向追踪的问题,但是,事实上,IPv6也存在自身的缺陷。而目前,不论是IPv6,Mobile IPv6,Ad-Hoc网络等,现有的反向追踪的方法都无法直接使用。因此,在这些方面需要更深入的研究,可以改进已有方法,或者根据新的环境来提出更简单更有效的追踪方法。 |
|