IP溯源技术研究论文.docVIP

　　IP溯源技术研究论文 .freelurf Flood attack 这种攻击方式也是利用ICMP协议，只不过把目标指向广播地址。如果攻击者在源地址中填入某个网络的广播地址，那么被攻击者送回的响应包将发往整个子网域，因而造成网络拥塞。 2.3 DoS攻击盛行的原因 统计表明，近年来拒绝服务攻击事件持续上升。究其原因，一方面DoS攻击极易实施，网络上存在多种方便的工具，攻击者只需这些工具，就可以利用它们对受害者发动攻击；另一方面，与特权提升攻击不同，DoS攻击一般不需要攻击者与受害者之间进行交互，这样攻击者就可能伪造攻击数据包中的源IP地址，使得受害者不知攻击来自于何方，从而难以采取有效的措施防范攻击或者缓解攻击所造成的影响，又难以找到攻击者，追究其责任。此外，分布式拒绝服务攻击使得多个拥有较少资源的攻击者通过协同工作可能有效的攻击资源丰富的受害者，病毒、蠕虫也加剧了DoS攻击中业已不平衡的攻击者与受害者的关系，使受害者越发处于不利地位。 DoS的防范非常困难，如果我们能够通过有效的方法追踪到攻击者，使得攻击者能够受到法律上的和道德上的约束，则拒绝服务攻击就可以大为减少。 3 链接测试法(Link Testing) 多数的溯源技术都是从最接近受害者的路由器开始，逐步检查上行数据链，直到找到攻击流量发起源。理想情况下，这个过程可以递归执行直到找到攻击源头。这种方法只在攻击进行的过程中有效，很难在攻击结束后或者间歇性攻击的情况下追踪。 3.1 入流量调试(Input Debugging) 许多路由器都提供入流量调试的功能。这允许管理员在一些出口点过滤特定的数据包，并决定它们来自哪个入口点。这种特性可以被用来用IP溯源。首先受害者确定自己受到了攻击，并且能够从所有的数据包中提取出攻击包标志。通过这些标志，网络管理员在上行的出口端配置合适的入流量调试，发现攻击报文来自哪个入口点，以及与该入口点相应的上行路由器。接着在上行路由器继续入流量调试过程。该过程重复执行，直到发现攻击报文的源头。 入流量调试技术的最大弱点是管理负担比较重，很多工作依靠手工完成。需要网络管理人员有较高的技术水平，并能够积极地配合和交流，甚至可能需要联系多个网络服务提供商(ISP)，因此需要较高的技术和大量的时间，几乎不可能完成。 3.2 可控洪泛法(Controlled Flooding) 该方法采用向连接发送大量报文(即洪水)来观察对攻击报文传输产生的影响。受害者需要首先掌握网络的拓扑情况，强制处于上行路由的主机或者路由器向每一个连接分别发送洪水。由于路由器的缓冲区是共享的，因此来自负载较重的连接上的报文，其被丢失的概率也相应较大。这样，通过向某个连接发送“洪水”后攻击报文减少的情况，就可以确定该连接是否传输了攻击报文。 这种方法最大的缺点是本身就是一种DoS攻击，会对一些信任路径也进行DoS；而且要求有一个几乎覆盖整个网络的拓扑图。这种方法只对正在进行中的攻击有效。 目前CISCO路由器的CEF(Cisco Express Forarking packets) 该方法的思想与ICMP溯源法有类似之处，它是路由器在转发报文的过程中，以一定的概率给报文做标记，标识负责转发它的路由器信息。受害机器即可利用报文中的信息来重构它的传输路径。出于避免加重路由器处理负担的考虑，标记算法要求信息的压缩性很强，即用最少的数据代表最多的信息。 由于数据包在途中经分段处理的情况是很少出现的(不超过0.25%)，因此IP头中的识别号域(Identification field)便很少使用。于是Savage等人建议将路径信息嵌入到16bits的识别号域中，路由器的IP地址及另外的32bits校验码共64bits被分成8块，每块8bits，以0到7对其编号(称为偏移)。为了顺利进行路径的重构，还需要一个距离域表示路由器到受害者之间的距离，由于路径极少有超过25路的，因此用5bits的空间就够了。当一个路由器标记一个数据包时，其随机的从8个分块中选取一块(8bits)，连同对应的偏移(3bits)，以及距离(5bits)填入该数据包的标记域(即识别号域)中。当路由器选择不标记一个数据包时，它先检查距离域的值是否为0，如果是，则把自己的与标记域中偏移量对应的分块与包中已有的分块异或后再填入原有的位置，然后把距离增1；如果距离不是0，则它只需把距离增1。这样一来，数据包中的标记信息实际上是两个相邻路由器之间的连接信息，这个方案中，至少需要8个数据包才能传送一个路由器的完整信息。 其它的标记方案与上面的原理类似。有的标记方法8个分块不再是IP地址和检验码，而是IP地址的8个不同的hash值(共有8个不同的hash函数)。 以上的标记方案，所有的路由器在决定是否标记一个数