IP溯源技術(shù)研究

摘要拒絕服務(wù)攻擊是目前最難處理的網(wǎng)絡(luò)難題之一，研究人員對其提出了多種解決方案，其中IP溯源是比較理想的一種。IP溯源技術(shù)利用路由器作為中間媒介，可以追溯到發(fā)送帶有偽造地址報文的攻擊者的真實位置。本文介紹了幾種常見的IP溯源技術(shù)，分析比較了它們的優(yōu)缺點，并對該技術(shù)的發(fā)展提出了展望。

關(guān)鍵詞IP溯源；DoS；拒絕服務(wù)1引言

在制定目前因特網(wǎng)上使用的網(wǎng)絡(luò)協(xié)議標準時，設(shè)計者把“端到端的透明性”作為互聯(lián)網(wǎng)體系架構(gòu)的核心設(shè)計理念，將互聯(lián)網(wǎng)上通信相關(guān)的部分（IP網(wǎng)絡(luò)）與高層應(yīng)用（端實體）分離，大大簡化了網(wǎng)絡(luò)設(shè)計，但由此也帶來了很多缺陷。例如與報文安全相關(guān)的服務(wù)，如可靠傳輸、集中控制和安全認證，都發(fā)生在進行通信的端實體上。網(wǎng)絡(luò)報文的內(nèi)容包括頭信息，都是由報文的發(fā)送者自行填入，這就產(chǎn)生了協(xié)議漏洞：報文發(fā)送者可以填入偽造的虛假源地址。這一點往往被攻擊者利用，他們可以隱藏自己的真實IP地址，冒充其它終端進行通信。DoS攻擊就是利用了該協(xié)議漏洞進行攻擊。

IP溯源技術(shù)的最終目標是能夠定位攻擊源的位置，推斷出攻擊報文在網(wǎng)絡(luò)中的穿行路線，從而找到攻擊者。成熟有效的溯源技術(shù)對網(wǎng)絡(luò)黑客有一定的震懾作用，可以迫使他們?yōu)榱朔乐贡蛔粉櫟蕉鴾p少甚至停止惡意攻擊行為。本文首先介紹了常見的DoS攻擊方式，接著對幾種有代表性的IP溯源技術(shù)進行較詳細的分析探討，并指出了它們的優(yōu)缺點。2DoS攻擊2.1DoS攻擊簡介

DoS(Denial-of-Service)攻擊，是一種常見的網(wǎng)絡(luò)攻擊行為。這種攻擊通過發(fā)送帶有虛假源地址的數(shù)據(jù)包請求，使網(wǎng)絡(luò)中大量充斥待回復(fù)的信息，消耗網(wǎng)絡(luò)的帶寬或者系統(tǒng)資源，使網(wǎng)絡(luò)或者系統(tǒng)服務(wù)負載過重，服務(wù)質(zhì)量下降，直至癱瘓而停止正常服務(wù)。有時攻擊者為了提高攻擊的效果，往往會聯(lián)合多個攻擊站點向受害者發(fā)動進攻。2.2常見的DoS攻擊方式

1）TCPSYNattack

TCP協(xié)議中，如果通信雙方要建立連接，必須先完成三次握手過程。如果在握手過程中，客戶端向服務(wù)端發(fā)出一個請求SYN之后，對于服務(wù)端發(fā)出的SYN+ACK置之不理，則服務(wù)端永遠無法得到客戶端的ACK包來完成三次握手，于是服務(wù)端就會等到超時再把這個連接結(jié)束掉。攻擊者利用這個特性，在短時間內(nèi)發(fā)送大量的SYN要求，造成服務(wù)端保持的連接數(shù)達到最大限度，無法再接收任何正常的連接請求，從而達到拒絕服務(wù)的目的。

2）UDPFloodattack

針對使用UDP協(xié)議的服務(wù)，由于通信雙方不用事先建立連接，因此攻擊者可以發(fā)送大量的UDP封包到服務(wù)端，并且將地址偽造成另一臺服務(wù)器，從而造成這兩臺服務(wù)器之間的網(wǎng)絡(luò)流量持續(xù)不斷的存在。

3）ICMPFloodattack

ICMP(IntenetControlMessageProtocol)用來測試網(wǎng)絡(luò)的狀態(tài)，最常用的便是ping命令。攻擊者常在偽造源IP之后，將大量的ICMP封包大量的送至服務(wù)端，則服務(wù)器主機回應(yīng)等量的ICMP封包到假造來源的IP網(wǎng)絡(luò)上，直接造成服務(wù)器與被偽造IP之間的網(wǎng)絡(luò)流量大量增加，沒有多余的帶寬可以讓正常使用者使用。

4）ICMPSmurfFloodattack

這種攻擊方式也是利用ICMP協(xié)議，只不過把目標指向廣播地址。如果攻擊者在源地址中填入某個網(wǎng)絡(luò)的廣播地址，那么被攻擊者送回的響應(yīng)包將發(fā)往整個子網(wǎng)域，因而造成網(wǎng)絡(luò)擁塞。2.3DoS攻擊盛行的原因

統(tǒng)計表明，近年來拒絕服務(wù)攻擊事件持續(xù)上升。究其原因，一方面DoS攻擊極易實施，網(wǎng)絡(luò)上存在多種方便的工具，攻擊者只需下載這些工具，就可以利用它們對受害者發(fā)動攻擊；另一方面，與特權(quán)提升攻擊不同，DoS攻擊一般不需要攻擊者與受害者之間進行交互，這樣攻擊者就可能偽造攻擊數(shù)據(jù)包中的源IP地址，使得受害者不知攻擊來自于何方，從而難以采取有效的措施防范攻擊或者緩解攻擊所造成的影響，又難以找到攻擊者，追究其責任。此外，分布式拒絕服務(wù)攻擊使得多個擁有較少資源的攻擊者通過協(xié)同工作可能有效的攻擊資源豐富的受害者，病毒、蠕蟲也加劇了DoS攻擊中業(yè)已不平衡的攻擊者與受害者的關(guān)系，使受害者越發(fā)處于不利地位。

DoS的防范非常困難，如果我們能夠通過有效的方法追蹤到攻擊者，使得攻擊者能夠受到法律上的和道德上的約束，則拒絕服務(wù)攻擊就可以大為減少。3鏈接測試法(LinkTesting)

多數(shù)的溯源技術(shù)都是從最接近受害者的路由器開始，逐步檢查上行數(shù)據(jù)鏈，直到找到攻擊流量發(fā)起源。理想情況下，這個過程可以遞歸執(zhí)行直到找到攻擊源頭。這種方法只在攻擊進行的過程中有效，很難在攻擊結(jié)束后或者間歇性攻擊的情況下追蹤。3.1入流量調(diào)試(InputDebugging)

許多路由器都提供入流量調(diào)試的功能。這允許管理員在一些出口點過濾特定的數(shù)據(jù)包，并決定它們來自哪個入口點。這種特性可以被用來用IP溯源。首先受害者確定自己受到了攻擊，并且能夠從所有的數(shù)據(jù)包