1、回絕效勞攻擊路由反向追蹤算法綜述回絕效勞攻擊路由反向追蹤算法綜述 回絕效勞攻擊路由反向追蹤算法綜述 信息技術(shù)論文 更新：2006-4-8 閱讀： 回絕效勞攻擊路由反向追蹤算法綜述薛東摘要： 針對回絕效勞攻擊，本文介紹了幾種發(fā)現(xiàn)回絕效勞攻擊途徑的反向追蹤算法。針對每一種算法給出了其相應(yīng)的原理和優(yōu)缺點(diǎn)。并在總體上，對這些算法的實(shí)現(xiàn)難度、效果等進(jìn)展了比較。關(guān)鍵字： 路由器 路由 反向追蹤 ICMP IP背景隨著互聯(lián)網(wǎng)絡(luò)的開展，越來越多的效勞通過網(wǎng)絡(luò)為群眾提供，與此同時，針對互聯(lián)網(wǎng)效勞的攻擊手段也出現(xiàn)了，回絕效勞攻擊，簡稱DOS，就是黑客們最常用的手段。這種攻擊行為使網(wǎng)絡(luò)效勞器充滿大量要求回復(fù)的信息，

2、消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以致于癱瘓而停頓提供正常的網(wǎng)絡(luò)效勞?；亟^效勞攻擊使用虛假數(shù)據(jù)包源地址為假來吞沒主機(jī)，從而導(dǎo)致其對正常用戶的效勞質(zhì)量下降或效勞回絕。有時黑客們?yōu)榱诉M(jìn)步攻擊效果，會結(jié)合多個攻擊站點(diǎn)一起向受害者發(fā)送攻擊數(shù)據(jù)包，這就是分布式回絕效勞攻擊DDOS。根據(jù)CERTComputer Emergency Response Team的統(tǒng)計，回絕效勞攻擊的發(fā)生率在近幾年有明顯的增加。2000年2月，包括yahoo在內(nèi)的多家大型網(wǎng)站被中斷效勞數(shù)小時，事后證明黑客采用的正是DDOS?；亟^效勞攻擊反向追蹤問題的難點(diǎn)在于攻擊數(shù)據(jù)包通常都具有不正確的或“假裝的IP源地址。這些包在

3、網(wǎng)路上遨游，使得我們無法找到真正的源信息。盡管IP包頭中的源地址是虛假的，但每個IP包都必須經(jīng)過從攻擊方到受害者之間的路由器轉(zhuǎn)發(fā)，記錄下這些路由器，就可以恢復(fù)出攻擊所經(jīng)過的途徑，這也是回絕效勞攻擊路由反向追蹤算法的根本思路。路由反向追蹤算法1鏈路測試原理：鏈路測試的思想是，從最接近受害者的路由器開始，測試其上游所有鏈路，找出是哪一個鏈路傳輸了攻擊的數(shù)據(jù)流，然后，更上一級路由器重復(fù)該過程，直到發(fā)現(xiàn)攻擊源。它又分為以下兩種測試方法：11輸入測試：很多路由器都提供以下的特性：允許操作員在路由器的某些輸出端口上，制止一些特定的數(shù)據(jù)包，同時也可以檢測出某一種類型的數(shù)據(jù)包到達(dá)了哪個輸入端口，該特性可以用于

4、路由的反向跟蹤。首先，受害者必須確定自己遭到了攻擊，并從攻擊數(shù)據(jù)包中提取出它們共有的一些攻擊特征，然后以某種方式通知網(wǎng)絡(luò)操作員，網(wǎng)絡(luò)操作員針對該特征，在受害者的上一級路由器的輸出端口上過濾具有該特征的數(shù)據(jù)包這里說的過濾并不是制止的意思 ，而是發(fā)現(xiàn)具有攻擊特征的數(shù)據(jù)報，過濾機(jī)制同時可以提醒出這些數(shù)據(jù)包的輸入端口，也就是提醒出轉(zhuǎn)發(fā)攻擊數(shù)據(jù)流的上一級路由器。上游路由器再重復(fù)該過程，直到找到攻擊源，假設(shè)該過程進(jìn)展到了ISP邊界，那么還需要聯(lián)絡(luò)上一級ISP，以完成整個跟蹤過程。問題：該方法要求很高的人工管理量。而且，在多個ISP之間協(xié)調(diào)是件費(fèi)時費(fèi)力的工作，同時，并不能保證所有的ISP都會愿意合作。12有控制吞沒：該方法通過將與受害者相連的每一條輸入鏈路進(jìn)展人為吞沒，并觀察攻擊數(shù)據(jù)包通訊情況的變化來檢測出攻擊的來源。受害者使用預(yù)先生成的網(wǎng)絡(luò)拓?fù)?，選擇最接近自己的路由器的上游鏈路中的主機(jī)，通過與這些主機(jī)合作，對路由器的每一條輸入鏈路分別進(jìn)展強(qiáng)行吞沒。因?yàn)槁酚善骶彌_的共享特性，每一個在過載鏈路上通過的數(shù)據(jù)包，其喪失的概率都會增加，當(dāng)然，這其中也包括攻擊數(shù)據(jù)包。通過觀察到達(dá)受害者的攻擊數(shù)據(jù)包速率的變化，就可以確定攻擊數(shù)據(jù)流的