基于拒绝服务攻击的IP追踪技术研究（可编辑）

基于拒绝服务攻击的IP追踪技术研究（可编辑） 基于拒绝服务攻击的IP追踪技术研究 曲阜师范大学 硕士学位论文 基于拒绝服务攻击的IP追踪技术研究 姓名:崔学鹏 申请 关于撤销行政处分的申请关于工程延期监理费的申请报告关于减免管理费的申请关于减租申请书的范文关于解除警告处分的申请 学位级别:硕士 专业:计算机应用技术 指导教师:王文国 20070401基于拒绝服务攻击的追踪技术研究 摘要 随着科技进步和计算机网络技术的飞速发展,信息产业及其应用得到了 巨大发展,由此也带来了关于信息安全的隐患。政府、金融、电信等企事业 单位及个人用户对网络的依赖程度越来越高,因此如何保障网络的安全性和 可用性成为~项迫切的研究课题。拒绝服务攻击由于容易实施、难于防范、 难以追踪而列为最难解决的网络安全问题之一. 本文对拒绝服务攻击及其防范对策做了较深入的研究,尤其在拒绝服务 攻击源的追踪方面取得了一定的成果。本文首先讨论了拒绝服务攻击的方 法、机制及其演化,以及现有防御拒绝服务攻击的技术及其发展趋势。接着 系统研究了目前提出的各种追踪技术,详细分析了它们各自的优缺点。并对 包标记算法在中实现的可行性进行了深入探索。在对多种概率包标记 算法进行系统分析的基础上提出了动态概率采样和压缩边采样标记算法相 结合的算法。该算法在不改变现有分组结构的基础上,对“标 志符”域进行了适当修改;同时采用边界路由器分担标记负载的办法以降低 单一路由器的负载,也增加了对攻击源定位的准确性;通过追踪主控系统定 时地更新压缩函数,进而增加了追踪过程的抗干扰性。 关键词:网络安全;拒绝服务攻击;追踪;包标记基于拒绝服务攻击的追踪技 术研究.. ,, ,. , . , , .... ... 醑 “”.. : ;; ; 基于拒绝服务攻击的追踪技术研究 第一章 绪论 .课题的由来 随着计算机网络技术的发展和/用户数量的激增,网络 已深入到社会的各个领域,人类社会各种活动对信息网络的依赖程度越来越 大。然而,当今的从基础结构到应用层都在受到各种各样的安全威 胁,很容易被恶意利用和攻击。公开发表的脆弱性评估报告、漏洞扫描软件 等都说明计算机网络技术存在的诸多不足是主要的安全隐患。隐蔽的黑客以 及各种病毒程序、恶意软件构成了网络安全的直接威胁,它们的攻击不仅会 降低网络性能甚至可以使网络服务瘫痪。这些情况会造成极其严重的后果, 并且愈演愈烈。 拒绝服务攻击是目前黑客最常采用并且是最难以防范的攻击方 法之一,攻击者为了减小攻击成本、增加自己的隐蔽性,往往使用虚假的源 地址,例如、.等经典的攻击程序,. 攻击是当前最流行的攻击程序,它利用了/协议的固有不足,在 建立连接时使用虚假的源地址,使受害者维持大量的半连接状态而耗尽 其网络资源,最终导致其无法处理客户的正常请求。有时黑客们为了提高攻 击效果,会联合多个攻击站点一起向受害者发送攻击数据包,这就是分布式 拒绝服务攻击,根据 陋的统计,拒绝服务攻击的发生率在近几年有明显的增加,年月, 包括在内的多家大型网站被中断服务数小时,事后证明黑客采用的正 是。 对于各类网络攻击,要迅速地解决问题,显然找到攻击源是至关重要 的,同时这也有利于法律部门调查取证、追究攻击者的法律责任。然而,要 准确的确定一个数据包的源地址是非常困难的。协议中最脆弱的策略就是 允许源主机自己填写报文的源地址域,而在/协议中并没有提供一 种机制来验证源地址的真实性。还有,网络路由的无状态性和基于目标 地址性,都给攻击者以可乘之机。一个作风优良的黑客,在实旌攻击时往往基 于拒绝服务攻击的追踪技术研究 掩藏攻击主机的真实地址包括地址和地址来逃避追踪。 所以,为了从源头上制止攻击的发生,也为了法律部门调查取证追究 攻击者的相关责任,对攻击者起到威慑作用,对追踪攻击源的技术的研究引 起了网络安全领域专家的注意。追踪攻击源的研究成为目前网络信息安全领 域的一个研究热点。 .国内外研究现状 追踪又称口回溯,英文为 ,即通过各种方法确定攻击 数据流的路径从而确定攻击源的过程。 在因特网安全领域中,追踪攻击源属于非常困难的问题之一。目前, 国内对于追踪的研究尚处在起步阶段,主要以高校科研机构为代表对国 外较为成熟的技术进行了研究与改进。国外的研究则有了广度和深度上的提 高,主要集中在数据包的攻击路由追踪算法方面。主要分数据包标记和路由 器 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 两大类。数据包标记算法的策略有很多,有基于概率统计的节点采样 策略、边缘取样策略。以及对于通用类型的数据包标记协议的讨论。路由器 记录类主要有基于散列摘要的追踪算法。还有的学者提出重叠网络的概 念,为路由器建立一个副本路由器专门用于追踪。但是,源路由追踪的相关 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 或协议尚未形成。从理论到付诸实际应用更是在探索之中。 对于局域网内虚假源地址数据包的追踪,国内外对其专门的研究则处于 空白,现有的都是局域网网络管理方面的研究工作。 .本论文所做工作及论文结构 论文的工作是围绕着追踪拒绝服务攻击发起者真正源地址展开 的,对各种追踪 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 进行了研究,主要研究了基于概率统计的数据包标 记算法追踪源地址的技术并在深入研究的基础上提出了改进建议和方案, 通过仿真试验进行了有效性验证。 论文第二章首先介绍了拒绝服务攻击技术,剖析了其原理和特 点。接着又介绍了目前防御拒绝服务攻击的技术,重点介绍了口追踪技术。 基于拒绝服务攻击的追踪技术研究 第三章,对口追踪技术进行了详细的研究与分析,比较了各种标记算法的 性能特点。第四章,重点研究力了追踪技术中的包标记算法,对现有包 标记算法进行了总结分析,并探讨了在中实现追踪的可行性。第五 章,基于对包标记技术的详细分析,为了提高标记效率和减小网络设备的负 载,我们提出了一个动态包标记算法的改进算法算法,并进行了仿真 试验。第六章文全文总结和对以后工作的展望。 基于拒绝服务攻击的追踪技术研究 第二章 拒绝服务攻击技术概述 本章首先介绍了拒绝服务攻击的概念,接着剖析了拒绝服务攻击技术的 原理并介绍了目前最为流行的攻击形式即其发展趋势。最后介绍了针对拒绝 服务攻击的防御技术。 . 拒绝服务攻击概述 ..什么是拒绝服务攻击 拒绝服务攻击,即。。在攻击中,攻击者通过 攻击受害者的计算机和网络连接,或攻击受害者要访问的网站和计算机,使 得受害者无法收到正常的服务响应。攻击者能够阻止受害者访问电子邮件、 网络站点、电子账户如网上银行等或者其他的应用服务译自。如 图.所示是一种典型的攻击。攻击者向受害端发送攻击数据流, 使受害端拒绝向合法用户和提供服务。 塾? ‘ 文 ?“ 毋 圈.拒绝服务攻击的示意图 ...拒绝服务攻击的原理 拒绝服务攻击的原理是攻击者发送带有虚假源地址的攻击数据包给受害 基于拒绝服务攻击的追踪技术研究 者,根据/协议的规定,受害者收到数据包之后发出回复信息并等待 确认,此时受害者处于半连接的等待状态。因为源地址是伪造的,攻击者不 会收到确认信息,这样大量的资源浪费在半连接状态中,而无法响应其它合 法的请求,造成拒绝服务。如图.所示。 图. 攻击过程原理示意图 . 例如,一个服务器受到攻击,它的资源被攻击流淹没。当一 个合法用户用浏览器请求网页浏览时,就无法得到响应。因为服务器的资源 是有限的,只能处理一定数量的请求,攻击者利用大量的请求耗尽了服务器 的资源使合法用户不能得到响应,这就造成了服务器的拒绝服务。 ..拒绝服务攻击的分类 拒绝服务攻击按照攻击类型来划分,可分为软件漏洞攻击 两大类。软件漏洞攻击,指攻击者 和洪水攻击 给目标主机的操作系统或应用程序发送少量的包去执行一些目标系统或软 件上的缺陷从而导致受害主机失去服务能力。洪水攻击,指一个或多个攻击 者不断发送大量数据包,直至将受害主机的带宽和计算资源耗尽使其完全丧 失服务能力。 根据攻击者的数日可以分为单攻击者的拒绝服务攻击,和多攻击 者的分布式拒绝服务攻击 ,。 一.分布式拒绝服务攻击 分布式拒绝服务攻击,它的英文全称为 ,它基于拒绝服务攻击的追踪技术研 究 是一种基于的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻 击方式,主要针对比较大的站点,像商业公司、索引擎和政府部门的站点。 从图.中我们可以看出攻击只要一台连接互联网的单机就可以实现, 与之不同的是攻击是利用一批受控制的机器向一台机器发起攻击,这 样来势凶猛的攻击令人难以防备,因此具有较大的破坏性,并且难以追踪。 的攻击原理如图.所示。 田.分布式拒绝服务攻击结构田 . 在中,攻击者事先入侵了大量服务器,并在这些服务器上植入了 攻击程序,然后控制这些服务器发动攻击。利用大量的服务器发动攻 击不仅增加了攻击的力度,而且更难于防范。 图.显示了攻击的结构:攻击者,通过发送控制消息给事先入 侵并已植入程序的主控端计算机,主控端计算机控制代理计算机群又 称为傀儡机发起对目标服务器的攻击。代理计算机群将产生高容量的伪造 的或随机的源地址的网络数据流,并把这些数据流发送给目标服务器。因为 数据流的源地址是伪造的,并且真正的攻击者隐藏在主控端的后边,使追踪 更为困难。 二.反射式拒绝服务攻击舡 基于拒绝服务攻击的追踪技术研究 如果把受害者的地址作为攻击数据包的源地址而广泛发出的话。那么受 害者会收到大量合法用户的请求而耗尽自己的资源,此种攻击方式称之为反 射式拒绝服务攻击 ,。 反射式拒绝服务攻击以及分布式反射拒绝服务攻击?是 的一种新形式。攻击者可以通过反弹技术使我们对更难以防御??利 用反弹服务器反弹的洪水包,也就是说,通过发送大量的欺骗请求数 据包来源地址为受害者或目标服务器给上大量的服务器群,而 这些服务器群收到请求后将发送大量的应答包给受害者。结果是原来用于攻 击的洪水数据流被大量的服务器所放大,并最终在受害者处汇集为攻击洪 流,使受害者更难以防范,并且更难以用跟踪技术去追踪洪水流的来源。 反弹服务器是指,当收到一个请求数据包后就会产生一个回应数据包的 主机。例如所有的服务器、服务器及路由器等都是反弹服务器, 因为它们会对报文或其它报文回应?或报文,以及 对一些报文回应数据报超时或目的地不可达消息的数据报。而攻击 者可以利用这些回应的数据报对目标服务发动攻击。 图.反射式拒绝服务攻击的原理不意图 . 值得注意的是,不像以往攻击,攻击者利用反弹技术,不需要把 服务器作为网络流量的放大器发送比攻击者发送的更大容量的网络数据。 他们甚至可以使洪水流量变弱,最终才在目标服务器汇合为大容量的洪水。 这样的机制让攻击者可以利用不同网络结构机制的网络服务器作为反弹服 基于拒绝服务攻击的追踪技术研究 务器,使其更容易找到足够数量的反弹服务器,用以发起攻击。 目前,因为硬件成本的下降以及软件技术的不断提高,单攻击者的拒绝 服务攻击的攻击成本越来越高,并且攻击效果劳不明显,更因为其实时的大 流量数据流使得攻击非常容易被发现和追踪,所以当前的攻击以分布式拒绝 服务攻击和反射式拒绝服务攻击的方式为主。 ,.拒绝服务的攻击形式 .利用程序漏洞因为无论多么优秀的程序员也难免有疏忽,各种各 样的程序代码都不能避免存在漏洞,这就给了攻击者以可乘之机。目前许多 流行的攻击工具都是利用软件的开发缺陷和漏洞实施攻击的,如简单易行的 溢出攻击,就是利用了程序员没有应用严格的变量定义,可以使赋值超出规 定而获得管理权限的指针。 .利用协议权限的攻击攻击者利用网络通信协议在最初设计时的局 限性导致的不足实施攻击,如 攻击就是通过破坏三次握手 过程来进行拒绝服务攻击的。 .耗尽连接资源的攻击这类攻击方式是使用大量符合协议的正 常服务请求,由于每个请求都耗费很大的系统资源,导致正常服务请求不能 成功。如协议是无状态协议,攻击者构造大量搜索请求,这些请求耗 费大量服务器资源,导致无法响应合法用户的正常请求。 .利用垃圾信息填塞消耗资源 通常,如果服务器可以没有限制的执 行写操作,那么都能成为塞满硬盘造成攻击的途径,比如:发送垃圾邮 件,一般公司的服务器可能把邮件服务器和服务器都放在一起。破坏 者可以发送大量的垃圾邮件,这些邮件可能都塞在一个邮件队列中或者就是 坏邮件队列中,直到邮箱被撑破或者把硬盘塞满。还有让日志记录满载、向 匿名塞垃圾文件等方式。 .合理利用策略 一般服务器都有关于账号锁定的安全策略】,比 如,某个账户连续次登陆失败,那么这个账户将被锁定。这点也可以被破 坏者利用,他们用一个合法账号去错误登陆,这样使得这个账号被锁定,而 正常的合法用户就不能使用这个账号去登陆系统了。 基于拒绝服务攻击的追踪技术研究 ..拒绝服务攻击的发展趋势 随着网络技术的发展,攻击技术也在不断变化,目前呈现出攻击方法复 杂化,攻击过程自动化的趋势,一个安全漏洞从被发现到被利用来实施攻击 的时间越来越短。拒绝服务攻击技术也表现出下面几个特点: .自动化程度越来越高自从蠕虫开始,一些能够自动扫描、 自动攻击、自动安装、并且自动传播的工具也相继出现。其中自动传播的方 式主要有三种,集中式传播、先后连接式传播、自动传播等。 .基于的系统越来越多地成为目标早期的自动攻击一般都 针对?系统,而针对系统的攻击通常都会在某种程度上利用社 交工程以获得成功。而今,针对系统的攻击逐渐增多。一般认为, 与其他的网络用户如专用系统或网络的管理员相比,的终端用户通 常在技术上不是很高,安全意识更淡薄,很少保护他们的系统或者预防他们 的系统被攻击。 .路由器和其他的网络基础设施也逐渐成为受攻击的目标 现在,攻 击者利用路由器的事例越来越多。攻击者常常利用销售商提供的默认口令获 得对一些配置和管理比较差的路由器的非法访问。攻击者有时将这些路由器 用于扫描活动的平台、代理服务器以及风暴型拒绝服务的攻击点。路由器对 攻击者很有吸引力,因为,路由器与计算机系统相比,更多地起到网络基础 设施的作用,因此在其他的攻击者面前显得更为“安全”,并且,一般认为 路由器不容易攻破,所以路由器常常更少受到监控,如果攻击者“占领”了 路由器,通常很难被发现。另外,其他网络基础设施如域名服务器等也开始 成为攻击者的攻击目标。年月日发生的对个根服务器的攻击 州,一个月后即月日发生的。对.域系统 的攻击 一引就是最好的例子。 .漏洞的首次发现到该漏洞被攻击者成功地利用之间的时间间隔越来 越短。当漏洞发布以后,攻击者能够很快研究出实际的攻击方法,编写利用 该漏洞的攻击代码。 基于拒绝服务攻击的追踪技术研究 .拒绝服务攻击的防御方法 对于拒绝服务攻击而言,目前还没有比较完善的解决方案。拒绝服务攻 击尤其是分布式风暴型拒绝服务攻击是与目前使用的网络协议密切相关 的,它的彻底解决即使不是不可能的,至少也是极为困难的。此外安全具有 整体、全面、协同的特性,这一特性在拒绝服务攻击方面体现得尤为突出, 没有整个网络社会的齐心协力、共同应对,拒绝服务攻击始终是摆在我们面 前的难题。虽然如此,我们也不是对拒绝服务攻击束手无策,研究人员也在 不断地寻求新的解决方案。拒绝服务攻击的对策主要可以分为三个方面:检 测攻击流、减小攻击危害和追踪攻击源。下面我们就从这三个方面开展研究。 ..检测攻击流 入侵检测是目前网络安全技术中最为成熟的技术之一,但因为拒绝服务 攻击的特殊性,入侵检测对拒绝服务攻击流的检测效果甚微。入侵检测技术 依靠匹配病毒特征库中的特征码来检测数据包是否为攻击包,而拒绝服务攻 击流从数据包本身看与合法数据包并没有什么区别,另外阈值的设置也是一 个难题,阈值过小则会影响正常数据流的通过,过大则不能有效检测攻击包。 即使像剧毒包型攻击因其数据包的“畸形”而能够被很容易的检测到,但这 样的情况越来越少。所以要发现拒绝服务攻击只能依靠攻击发生时的一些异 常现象,如:当攻击一个站点时,会出现明显超出该网络正常工作 时的极限通讯流量的现象;出现特大型的和数据包;不属于 正常连接通讯的和数据包;检测到大量的目标不可达消 息;收到大量的 包或者大量的.数据包指此二者显 著不平衡等。 ..减小攻击的危害 减小攻击的危害首先要增强自身的容忍性即抵抗攻击和自我修复或自 我恢复的能力。强容忍性的目的是增强受害者在遭受攻击时的承受能力,减 轻攻击对受害者的影响。针对不同的攻击采取相应的策略。如:应对基于拒 绝服务攻击的追踪技术研究 攻击可以采取限制半连接队列长度的措施;对重要数据进行备份以便 在受攻击后可及时恢复;使用防火墙等安全保护措施。 另外一种减小攻击危害的措施是过滤数据流,将攻击性数据流在到达攻 击者之前丢弃。 .入口过滤 攻击通常都牵涉到地址伪造。因此,如果我们能降低攻击者伪造 地址的能力,的发生就会大为减少。一种称为入口过滤 嗍【的方法就是解决地址伪造的一个途径。在入口过滤中,路由 器被配置成能够阻塞过滤那些源地址明显是非法指不属于该网段 的数据包,以免其进入外网如,这里的“入口”指的是路由器接收 数据包的端口,是从路由器的角度而言的。例如,如果一个边界路由器从其 连接内网的网卡上收到一个数据包,而该数据包中的源球地址却不属于该 段网络,则这个数据包就应该阻塞掉。如果拿邮政系统作比方,这类似于本 地邮局只接收回信地址为本辖区地址如以本地邮政编码来判断的投递信 件,对于那些在本地投递而回信地址不属于本辖区的信件则不予转发。 .基于路由的过滤 基于路由的分布式包过滤研是指路由器如自治网络的边界路由 器在已知网络的连接特征和网络拓扑结构的条件下,利用路由信息,根据 接收到的数据包中的源地址和目的地址判断其是否合法即数据包 的源地址是否是伪造的,如果判断为不合法,则过滤掉该包。一个自治 网段只能判别和丢弃小部分伪造的数据包,如果所有的自治网段和其路由器 都实行了基于路由的包过滤,则不会有伪造的数据包进入网络除非攻击 者将源地址伪造为属于他所在自治网段的地址。这个方法的最大的 优点在于只需部分覆盖,即在大约%的拓扑结构中实施路由过滤就 可以防止伪造地址的数据包到达其他的自治网段。 ..追踪攻击源 研究表明很多入侵者常常会因为责任追究的危险而受到威慑,他们非常 害怕失去匿名性。如果我们能追踪到攻击者,则攻击事件的发生会减少很基 于拒绝服务攻击的追踪技术研究 多。追踪的理想目标是找到真正的攻击者,以便追究其责任,这同时也达到 了威慑的效果。然而,就目前而言,由于攻击者通常都是利用傀儡机发起攻 击的,要找到真正的攻击者并不是总能做到。因此,在拒绝服务攻击的追踪 方面,我们主要关心的是追踪到攻击的发出点,即攻击性数据包的源头。本 文中。在没有特殊指明的情况下,“追踪”一词指的都是在拒绝服务攻击条 件下对数据来源的追踪。上面我们讨论的减轻危害的方法是被动的、局限性 的,而且有时也可能是昂贵的如采用热备份就需要额外的设备或其他资源。 本节讨论的追踪方法因可以起到威慑的作用,因此具有主动的意义。追踪的 结果既可以作为继续追踪真正攻击者的基础,也可以为其他的对策如过滤提 供信息,增强防范效果,还可以作为从法律上追究攻击者责任证据。最近几 年,研究人员提出了多个追踪方案,这些方案都有各自的优缺点. 基于此,我们致力于追踪拒绝服务攻击源的研究。对当前的追踪技术进 行分析和改进,并探讨了追踪技术在实际应用中的方案和价值。本文中所指 拒绝服务攻击是指洪流型攻击,对于反射式拒绝服务攻击暂不作研究。基于 拒绝服务攻击的追踪技术研究 追踪技术综述 第三章 协议允许匿名攻击的缺陷在很早的时候就被发现了,在 年发表了关于网络脆弱性的论文,里面写道: 叭麟或 鹞 ?‘ 锄/?”】 正是因为协议没有对报文头的“源地址”域采取任何安全措施,源 地址可以被随意改写导致了拒绝服务攻击的泛滥。追踪技术提出的初衷就 是要想办法追踪到数据包的源地址,弥补协议的不足。成熟的追踪技 术可以有效抑制/攻击的发生,还可以用于网络故障的诊断,对 于减少数据包欺骗、净化互联网的安全环境将有很大的帮助。本章对追 踪技术进行了详细的研究,首先对追踪技术的概念进行了说明,然后对 口追踪技术各种方案进行了详细论述并对各种算法的性能进行了横向比 较。 .什么是追踪 追踪,也叫回溯 。指通过一定的机制、手段,确定 攻击流的真正来源以及攻击数据包经过的完整路径。这里的数据包的来源可 能是实施了追踪的网络的某个入口点、发出数据包的实际的主机或者网络, 甚至可能是实施了追踪的网络中的受攻击者控制的某个路由器。追踪是本 文研究的主要课题。 追踪具有重要的研究意义和应用前景。它可以对网络攻击者的真实 位置进行识别,从而进行打击和抑制,另一方面也为法律制裁提供了证据, 是一种重在威慑的技术。 在这里,我们称发起攻击的一方为攻击者盯,攻击者发送的有不 良动机的数据包称为攻击包 ?,攻击包的目标称为受害者 从一个攻击者到受害者的单路由链路称为一条攻击路径;攻击路 。基于拒绝服务攻击的追踪技术研究 径含有的路由器跳数称为攻击路径的路径长度。如图.所示,, ,,为一条攻击路径,路径长度为。 了 行 丁 说明:图中表示发起攻击的 主机,称为攻击者;为网络中 的路由器,转发数据包:是攻 \厌厂 击目标,即被攻击者,我们称之 为受害者 蕊/ 淖 图. 追踪原理图 .追踪技术可以攻击正在进行时或已经结束后,根据现有的所能获得的 信息来重构攻击路径从而确定攻击者的位置如图.虚线所示。根据追 踪结果的准确性,可以分为追踪到发起攻击的网络、主机、进程和用户。 . 追踪技术的分类 目前,追踪技术可以分为两类。按追踪的实效性可以分为两大类:攻 击进行时进行追踪的技术和攻击结束后的事后追踪技术。 按照攻击源的性质来分,可以分为追踪产生大量攻击报文如拒绝服务 的追踪 攻击的攻击源的追踪技术和追踪只有少量报文如 技术。 根据追踪方式追踪技术可以进一步分成两类:一类称作反应式追踪, 即在检测到攻击后才开始启动追踪过程;另一类称作主动式追踪,即在数据 包转发的过程中就进行实时监测,当攻击发生时可以根据实时监测的信息重 构攻击路径实现追踪。具体分类见图.。 反应式追踪只能在攻击进行时实施,当攻击结束后,追踪无法进行确定 基于拒绝服务攻击的追踪技术研究 攻击源。所以这类方法可以在需要实时阻断时使用而无法用于事后分析。典 型的方法包括输入调试法和受控淹没法。 主动式追踪既可以用于对攻击行为的实时阻断又可用于对攻击的事后 分析。主要的方法有:路由记录法、消息法、包标记法等。 嚣 主动式 追踪 图. 追踪技术的详细分类 . 另一种比较重要的算法是确定性包标记算法,路由器在转发数据包时对 每个数据包都进行标记。它的优点是只需收集很少量的数据包就可以获得完 整路径的信息,从而追踪到数据包的源端。但是其缺点也是很明显的,就是 路由器要标记所有的数据包,导致负担过重,尤其对于产生大量数据包的拒 绝服务攻击,过高的标记负载会导致路由器崩溃。 .追踪方法介绍与分析 自网络攻击行为产生以来,就有了对追踪技术的需求。所以追踪技术也 在不断发展,下面对各个阶段的主要的追踪技术进行介绍和详细的分析.“仰 ..入口过滤 一种解决匿名攻击的方法是使攻击者无法使用欺骗的源地址发起攻击。 入口过滤方法通过配置边界路由器,使具有非法源地址的包不能通过。这种 基于拒绝服务攻击的追踪技术研究 方法特别适用于客户网络和啪就 ,网络服务提供 商的边界,他们的地址相对固定且通讯流量较低。这种方案的主要局限 是它要求路由器有足够的能力检查每个包的源地址,并有足够的能力判别地 址是否合法。因此,入口过滤不能在非常广泛的范围内应用,特别是在高速 网络和移动中。 ..链路测试 ‘阐 这类方案从离最近的路由器开始,交互测试其上游链路直至确 定出攻击数据来自哪条链路。理想的话,在上游路由器处递归重复此过程直 至到达攻击源。此技术假设攻击者在追踪完成时仍然处于攻击中,因此不适 用于那些事后才检测出来的攻击,间断的攻击以及能够根据追踪调整其攻击 行为的攻击。链路测试方案有两种变化:输入调试法和受控淹没法。 . 输入调试法 , 因为多数路由器具有查找符合某种模式报文的输入接口的调试功能,利 用路由器的这一功能,在攻击发生后逐跳确定具有攻击特征的数据包来自哪 个路由入口,通过反复使用从而可以确定发送攻击包的真实。我们用图 .中的流程图进行说明. 攻击报文 来自主机 攻击报文来自于同 内主机还是路由器 定位到攻 源自路由器 击源结束 结合路由表确定报文的输出端口 根据报文的输出端口确定其输入端口 根据输入端口及路由表确定其上游路由器地址 图. 算法流程图 . 基于拒绝服务攻击的追踪技术研究 该方法是追踪时最容易想到的方法,但该方法要求追踪路径上所有 路由器必须具有输入调试能力,且需要网络管理员或技术人员手工操作,依 赖互联网服务提供商即的高度合作。虽然其追踪结果非常准确,但由于 ’追踪速度很慢且操作复杂技术含量高,除了军方特殊需要外,基本不使用。 .受控淹没法 , 受控淹没法是一种基于链路测试的方法,其基本思想是用猝发的大量报 文去淹没某条与其直接相连的链路,通过观察对攻击者的影响来定位攻击 源。该法的工作流程如图.所示 攻击报文 攻击报文来自于网 \ 蠹篓紊竺 内主机还是路由器// 定位到攻 源自路由器 击源结柬 淹没一个输入端口 是否对受害者受 到的攻击有影响 根据该输入端口及路由表确定其上游路由器地址 图. 算法流程图 .如图.所示受控淹没法在攻击发生时,首先利用已有的拓扑 图选择对距离受害者最近的路由器的每一条上游链路分别进行洪流攻击,通 过观察来自攻击者的包的变化来确定攻击数据包经过哪条链路,然后用同样 方法对上游链路继续洪泛。该方法确实是有效的,但它自身就是一种 攻击,需要与上游主机高度合作并且要掌握详细的拓扑图。 基于拒绝服务攻击的追踪技术研究 ..路由记录法‘? 要追踪攻击源,一种简单直观,最容易想到的方法就是利用路由器的日 志功能,对其所转发的报文进行记录,但是记录也会耗用路由器大量的运算 资源和存储空间。 另一种思路就是将数据包经过路径的路由器地址信息写入数据报文中, 受害者收到攻击数据包后就可以从报文中提取出路径信息,构造出攻击数据 包的攻击路径,就可以追踪到攻击者。这就是路径记录法。 总长度 版本头长度服务类型 标识 标志 段偏移 协议类型 授验和 生存时间 源地址 且的地址 选项码 长度 指针 路径上的第一个路由器的碑地址 路径上的第二个路由器的伊地址 数据 图.带路径记录选项的报文结构图 .舶在报文头的选项里有一项路径记录功能,可以用来记录报文从攻 击者到受害者所经过的路径上的各路由器的地址,路径记录法就是利用 该功能来记录路径信息。其报文格式如图.所示,其中灰色阴影部分表示 路径记录选项。 其中,“选项码”为,表示路由器在转发报文时,要将自己的地址 添加到报文中。“长度”指出数据报发送主机预先分配给该地址存储区 域的大小,“指针”指向该存储区域内下一个用于存放腰地址的位置。如果 预先分配的地址区域大小不足以记录下全部路径,协议将放弃记录余下的 地址。 因为数据报文的口选项域也并没有足够的空间存储路由信息,所以出 基于拒绝服务攻击的追踪技术研究 现了一种思路:用记录地址信息的摘要来节省存储空间。受害者可以根 据所收到的攻击数据包的摘要和路由器中保存的摘要重构攻击路径,源路径 隔离引擎正“”就是比较成熟方法之一.该方法的优点是能够对单个数据 包进行很准确的反向跟踪,漏警率为零,且有很好的互操作性。缺点是它需 要间的相互合作,对高速路由器存储要求高,并会消耗路由器资 源,影响路由器的流量转发性能。 .. 消息法 .追踪消息法 追踪消息法“”引入了一种新的消息“消息”,该消息包含发 送该消息的路由器的地址及诱发它的数据包的相关信息,加载了跟踪机 制的路由器能够产生这种消息帮助受害主机识别假冒源的数据包。但该 方法会产生大量额外负载,影响网络性能并且容易被网络安全策略堵塞,且 来自远端路由器的非常有限。目的驱动的方法 在路由表和数据包转发表中引入了一个“目的位”来决 定某个特殊的目标是否需要跟踪消息,该方法能精简消息提高 系统的性能,几乎不需要对路由选择结构做出改变,其缺点是:由于频繁地 更新路由表,会导致路由选择机制的不稳定性,并有可能对协议产生 改变。 .定位报文法 定位报文法“”的基本原理是引入新的定位报文 ,当路由器转发报文时,以极小的概率发送对数据包 的一个特殊形式的拷贝,该拷贝是一种特殊定义的数据包,其中加载 发送它的路由器的地址以及前一跳和后一跳路由器的地址和诱发它的 数据包的信息,发给目的地。当且的地收到足够多的定位报文时,报 文传递的路径和源头就可以确定了。定位报文的数据区包括表.中 的几个部分。 基于拒绝服务攻击的追踪技术研究 名称 用途 本地接受接口名称 报文来自相邻路由器接口名称 上~跳接口地址 报文来自相邻路由器接口的地址 本地接受接口地址 奉路由器接受报文的接口的地址 本地发送接口名称 报文将要转发相邻路由器接口名称 本地发送接口地址 本路由器发送报文的接口地址 下一跳接口地址 报文将要转发至路由器接口的咿地址 时间戳 采样时间 身份认证信息 防止攻击者伪造.报文 采样报文存储区 存储采样的报文本身 表. 定位报文的构成及各部分功能 .定位报文法的工作流程如图.所示, 过滤定位?,报文 在转发报文式以特定概率采样 上 根据过滤出的定位报 构造相应的定位报 ? 文构造攻击路径 按照采样报文的目的地将定位 报文发出 受害者的工作 每个路由器的工作 田. 定位报文法的流程图 . 消息法具有实现较容易,追踪速度较快的优点,也不需要与合 作。但是生成的报文却额外增加了网络流量,使本来就非常有限的带 宽资源更加紧张,无形中放大了拒绝服务攻击的效果。 ..包标记法 年和首先提出了将路由器的地址信息标记到数基于拒绝服务攻击的追踪技 术研究 据包中,以便追踪风暴型拒绝服务攻击来源的思想,即包标记的思想。包标 记的主要思想是当数据包通过路由器时,路由器将其地址信息填入包中,从 而使得受害者能通过这些信息获得从攻击者到受害者之间的路径信息即攻 击性数据包所经历的路径信息。】等人则首先对此作了较为深入的研 究。他们提出了一种被称为概率包标记的方 法。随后,”等人又在此基础上作了进一步的研究,提出了两个分别称为高级 包标记 和带认证的包标记:的方法。 .几种追踪技术的比较 上面分析的追踪技术各有千秋,没有一种方法能够完美地解决定位 难题。它们各有侧重,从不同的角度,针对某一类攻击来追踪攻击源。下面 从六个方面来进行对比: .管理开销除输入调试法和路由器日志法需要安全工作者或系统管 理员介入人工干预外,其余定位技术都由路由器和被攻击者自动执行,管理 开销相对较小。 .网络开销因为受控淹没法要依次对链路进行淹没测试,因而将对 网络产生巨大的负载,而输入调试法和路由器日志法基本没有增加任何网络 流量,其它几种方法都是基于采样的算法,网络开销也不大。 .路由器开销除受控淹没法外,其余方法都要修改路由器的设置, 使其在转发报文时能记录路径信息。路由器日志法需要路由器对转发报文作 日志记录,将极大地降低路由器的性能。输入调试法和路径记录法对转发的 每个报文都要进行处理,路由器开销也较大。其余的方法都基于采样算法, 开销相对较小。 .实现难易受控淹没法要求依次对可能的链路进行淹没,要产生这 样的效果,本身就是一种拒绝服务式攻击。另外路径记录法要求攻击者主动 启用路径记录选项,这很不现实,因而只能在可控网络如的内 部的边界上强制启用该选项。其余方法只需对相应的路由器进行修改,增 加记录路径信息的功能便可实现. 基于拒绝服务攻击的追踪技术研究 .事后处理能力路由器日志法和路径记录法对每个转发的报文都记 录了完整的路径信息,因而要提取攻击路径非常方便,具有优秀的事后处理 能力而输入调试法和受控淹没法必须要在攻击发生时才能工作,因而不具有 事后处理能力其余的方法都能在攻击完成后再找出攻击路径。 .兼容性受控淹没法对路由器不需要做任何改动,因而对现有网络 有良好的兼容性。输入调试法、路由器日志法和路径记录法都是利用路由器 现有的功能来记录路径信息,也兼容现有网络。定位报文法要引入新 的报文,而且目前它还没有正式列为 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 ,因而只能在可控的内 部网使用,兼容性差。节点采样标记法和边采样标记法也需要对报文头 进行修改,虽然很容易实现,但毕竟与现有的口协议不兼容,在使用该 方法时必须进行修改。而重载报文头标识域的压缩边采样标记法只是对 报文头的标识域进行了重用,在当前网络中,已经很少对报文进行分 片的情况下,该方法能很好地兼容现有的路由器、协议。上述比较的结 果如表.所示 管理开销 网络开销 路由器开销 实现难易 事后处理能力 兼容性 输入调试法 高 极低 高 容易 不能 好 受控淹没法 低 极高 低 难 不能 好 好 路由器日志法 高 极低 投高 容易 优秀 路由记录法 极低 低 高 难 优秀 好 .定位报文法 低 低 低 容易 有 差 节点采样标记法 低 低 低 较难 有 较差 较差 边采样标记法 羝 低 低 较难 有 低 低 低 容易 有 较好 重载报文头标识 域的压缩边标记法 表. 追踪技术主要方法性能比较 . 虽然包标记法需要修改协议,但该类方法只使用数据包本身的信 息,不会产生额外流量,也不会被防火墙或安全策略堵塞,并且不需要来自 的相互合作,所以比较而言,包标记方法是追踪技术中最理想的方法之 一, 在下面的章节中我们将对包标记方法进行详细的研究.基于拒绝服务攻击的 追踪技术研究 第四章包标记方法研究 在各种追踪方法中,包标记的思想具有明显的优点,首先该方法不需要 与网络服务提供商的合作,大大减小了管理成本:其次可以实现自 动标记自动追踪,减少了人工参与;可移植。可以随着协议的升级而更新; 另外追踪的准确性和效率较高是其成为该领域的一大研究热点的原因之一。 本章中我们将对包标记方法进行系统的研究。 .基本包标记方法 , 。等人对包标记的思想进行了系统的研究,他们提出的基本包标 记算法开启了源地址追踪的一个新的方向。等人提出的标记算法均 由两部分构成:路由器标记过程和路径重构过程。路由器标记途经的数据包, 受害主机利用这些标记数据包中的信息重构出攻击路径。基本包标记算法包 括两个不同的方法,一个是以路由节点为采样单位的节点采样标记法,一个 是以相邻路由器问路由链路为“边”的边采样标记算法。两个算法共同的优 点是:首先它不需要之间的交互协作,避免了高昂的管理耗费:其次它不 会给网络带来巨大的额外流量,可以同时追踪多个攻击:而且它还可以追踪 已经结束的攻击;另外,算法的实现也不会给路由器带来过多的资源耗费。 ..节点采样标记法 节点采样标记法在报文头里预留一个字节的“节点域”当路由器转 发报文时,都以概率将自己的地址写入该域。设报文从路由器到目的地要 经过跳,则目的地收到该路由器以概率标记过的报文的概率为.严‘,它 是一个严格递减函数,因而在目的地收到的带路由器标记的报文的数量随路 由器离目的地距离的增加而减少,这样就可以对收到的带有标记的报文按照 不同的标记进行计数,然后按照大小进行排列,就可得到报文的传播路径。 其算法如图.所示基于拒绝服务攻击的追踪技术研究 ? 将路由嚣的地址 写入报文头节点域 ??一 转发报文 路由嚣上的工作过程 受害者端的工作过程 图.节点采样标记法的算法沉程图 . 节点采样标记算法是对收到的带有路由器标记的报文按照不同的标记 进行计数,然后按照大小进行捧列,从而得到报文的传播路径。先不考虑标 记信息的编码,根据采样定理我们可以推算,假定一条攻击路径:, ,??.,,其中表示攻击者,表示受害者,攻击路径长度 表示攻击路径上的路由器数。若路由器以固定概率标记数据包,攻击规模基 于拒绝服务攻击的追踪技术研究 即攻击者发出的数据包数设为。那么,我们可以得出以下结论:因为受害 者要至少收到一个来自距离攻击者最近的路由器标记的数据包,即至少有这 样一个数据包,其被第一个路由器标记并且不再被后面的路由器标记。就有 这样一个关系式: 公式 ?一“’ 可以得出重构攻击路径所需数据包的期望值为: 公式 删某知 在,.的情况下,被攻击者要平均收到个报文,其中才 有一个是距离最远的路由器采样过的报文。因而该方法在样本空问必须特别 大的情况下才能正常工作,否则将不能确定路由器的先后次序或颠倒先后次 序。 ..边采样标记法 边采样标记法将“边”的信息写入报文,它在报文头里预留三个区域: 起点、终点和距离。当路由器转发报文时,以概率进行采样标记,将自己 的地址写入起点域,距离置。当路由器检测到距离值为时,将自己的 地址写入终点域,同时将距离加,这样就代表了自己和前一个路由器之间 的“边”。如果路由器不对报文进行标记,就将其距离加,这样距离值就 代表对报文进行标记的路由器到目的地所经过的路由器的个数。其算法如图 .所示 边采样标记法改进了节点采样标记法的不足,减少了重构估计路径所需 要的最少数据包数,但是因为要在报文中预留三个区域:起点、终点和距 离,这就要求数据报提供足够的空间,并且要对报文结构进行大幅度修改, 在实际应用中很难实现。基于拒绝服务攻击的追踪技术研究 在,的区间 以受害者地址为根节 内产生随机数 点,以三元组起点,终点, 距离为边构造树 执行 将边的起点, 汴琴 晕 距离: 的终点,距离 将该路由器 插入树中 的地址写 将该路由器的 入报文头的 地址写入报文头 对攻击树进行傣剪 起点域并将 的终点域, 距离域赋值 距离加 在树中.由根结点 开始到叶子的单枝 子树即为攻击路径 转发报文 路由器上的采样标记过程 受害者端的路径重构过程 图. 边采样标记法的算法流程图 .脚? .其他改进的标记方法 虽然基本包标记法在追踪技术的研究领域具有开创性的意义,但是其本 身还有很多不足和缺点,如虚警率较高,计算量很大,对攻击无效且 鲁棒性差等。为了克服其缺点和弥补不足,研究人员们相继提出了几个在其 基础上进行改进的方法,其中有高级包标记方法埽、带认证的包标记方法 和压缩边标记法,另外还有代数编 。改进和带认证的 码包标记方法 方法提高了精确度和鲁棒性,降低了计算量。代数方法将源追踪技术问题 转化为多项式重构阿题,利用代数编码理论来恢复假冒的数据包的真实源 点,该方法与方法的区别在于利用规则迭代地算术编码边信息而不基于拒绝 服务攻击的追踪技术研究 是用函数作为校验器。这里我们总结了一个目前较为成熟的算法一重 载报文头标识域的压缩边采样标记法。 前面我们介绍了边采样标记法,其对报文需要增加字节的开销,起 点域、终点域各字节,距离字节。在同构网络中,我们可以将这些信息编 码进多协议标记交换标记栈里;而在异构网络中,我们可以将采 样信息保存在选项里,但这将使路由器的性能急剧下降,同时对采样的报 文也可能没有足够空间来存储这些信息。因此等人对边采样标记法 进行了改进。首先解决了数据报文承载标记信息的问题。现在的网络应用一 般都有自动最大传输单元协商的功能以防止分段的发生,因此数据 包的分段是很少发生的,这样分组报头的“标志符”域就很少使用,大约 只有不到.%的数据包受到分段处理,也即只有.%的数据包会用到其 “标志符”域。这样我们就可以利用分组报头的“标志符”域记录路径信 息。其次针对攻击者伪造标记信息的可能性,提出用不断变化的距离来判断 标记信息的真伪。最后为了提高标记的效率以及重构算法的效率,提出将标 记信息用函数压缩的思想,且只存储相邻路由器的地址的散列值的异 或结果。这样将。标志符”域分成诱个子域:~个用于记录距离,位;另 一个子域位,用于记录相邻路由器的信息,如图.所示。版本头长度 服务类型 总长度 标识 标志段偏移 生存时间 协议类型\ 校验和 源地址\ . 目的地址\ ?一 ,\日 距离 相邻路由器信息 圈重载后的口报文头结构 . “”用位来表示,网络的直径可以达到跳,可以满足一般规基于拒绝服务攻击 的追踪技术研究 模的网络的需要,因为绝大多数网络路径长度都小于阎例; “”只有 位,因此算法采用哈希函数,将位的地址压缩 编码为位,该算法仅保留一条边上两个节点的口地址的异或结果。例如, 开始节点是,结束节点是,则保留 的结果存放在分片标志的标识 域中。只有离受害主机的距离为跳的路由器其采样包的标识域中存放的是 该路由器的地址的散列值。根据异或运算的特性:,利用采样 得到的相邻路由器信息可逆推重构出攻击路径并最终确定攻击源,过程如图 .所示: 路径上 经标记算法 的路由 标记的报文 路径重构过程 图.利用异或运算的特性进行路径重构的过程不意 .重载报文头标识域的压缩边采样标记法巧妙地利用报文头里极少 用到的标识域,并将路径信息利用哈希函数进行压缩编码,不像其它方法要 给网络增加额外的流量。同时也使路径信息随报文一起被捎带到目的地,大 大提高了效率,同时利用异或运算的特性使得受害者能够高效逆推得到攻击 路径,是一种高效可行的方法。但它在路由器不得不对超过最大传输单元 ,的数据包进行分片时,该算法失效,只有当 足够数量的不进行分片操作的报文通过路由器并被采样标记后,该算法才能 工作。 .包标记方法在中的探索实现。基于拒绝服务攻击的追踪技术研究 .. 的安全策略 口通过强制采用协议极大的提高了网络层的通讯安全。它提供 了两种安全机制:认证和加密。认证机制使通信的数据接受方能够确认 数据发送方的真实身份以及数据在传输过程中是否遭到改动。加密机制通过 对数据进行编码来保证数据的机密性,以防止数据在传输过程中被他人截获 而失密。因此在网络层提供了端到端的安全保证,以及对内部网络 的保密,另外通过安全隧道可以构建安全的虚拟专用网。 但是网络也不是绝对安全的,同样存在发生拒绝服务等攻击的可 能。虽然攻击者已不能够通过伪造源地址等欺骗手段实施攻击,但仍可以利 用协议等的漏洞进行攻击。例如:密钥交换协议一一?伽 主要对密钥交换进行管理。攻击者可以通过发出大量的连接请求 而屏蔽掉合法连接的服务响应,因为加密要进行模数乘幂运算会占用大量的 时间,而进行攻击的代价要远远小于被受害者响应攻击的代价,所以攻 击者可以轻松实施拒绝服务攻击。 尽管的网络安全架构已经相当全面了,但是拒绝服务攻击还将是一 个令人头疼的问题,所以研究将现有中应对拒绝服务攻击的策略移植 到中是非常必要的。 ..在 中实现追踪脚 ...编码方案 中基本包标记算法的思想是路由器以一定的概率将其地址信息标记 到数据包中。在风暴型拒绝服务攻击中,受害者会收到大量来自于攻击者的 数据包。当受害者收到这些数据包并从中获得足够的路径信息时,即可重构 出攻击性数据包所经过的路径。 我们依然想通过类似的思想实现回溯算法,首先我们要解决的问题就 是在的报文头中找一个合适的域来代替中的域。从 和的报文头格式的比较中我们知道中没有域, 流标签域。在 所以经过分析我们决定使用报文头中的基于拒绝服务攻击的追踪技术研究 协议中指出 域为位表示一个数据包从同一源地址发往特定的一 个或多个目标地址的序列号,但是它的详细的使用要求还没有最终确定【刀。 因为 域为位,而的地址长度是位,另外还需要记 域分 录数据包距离始发者的距离即经过的路由跳数。所以我们将 占位,距离域占 为记录标记信息的域 位如图.中阴影部分所示,以保证能够记录最大的路径长度。 基于拒绝服务攻击的追踪技术研究 .. ./进行异或运算牵/ . .. 数据包经过路由器时,标记算法以概率决定是否标记该包。如果执 行标记,首先对路由器的地址进行散列计算,将输出结果填入 域,并将域置零。此过程有可能覆盖原来的标记信息。 如果不执行标记,判断是否为零,若是,则将路由器地址的散列值 与的值的异或的结果取代原来的值;如果不为零则仅执行加一操作。 对地址的散列运