利用双标记的IP包定位方法.pdf

计算机系统应用 2008年第12期 利用双标记的lP包定位方法 Double—-MarksSchemeforIPPacketLocati ng 李宇波 范冰冰(华南师范大学计算机学院广东广州510631) 摘要：当前lP跟踪技术尚处于比较落后的阶段，对一些复杂的攻击无法实现有效定位。文章提出一种新的利 用双标记的lP包定位方法，该方法有效地回避了现有TCP／IP协议存在的缺陷。允许IP包的获得者直接 查看包中的信息定位其起始地址，而无论其源地址字段是否被伪造。而且由于该方法原理简单，不修改 现有网络协议、无需大型硬件设备的投入，因此适用性广、可行性大。 关键词：IP跟踪双标记IP定位计算机网络攻击 1问题的引入 头源地址字段，并且TCP／IP协议并没有提供找到数据 由于历史的原因lP协议本身并不能够保证IP数包真实源头的机制。” 据包源地址的可靠性，攻击中经过精心伪造的IP包其 尽管在由IP欺诈相应产生的追踪lP包真实发出 源地址可以是任意的：而相应的IP跟踪技术尚处于比 地址的技术方面，已经有很多相关的理论提了出来，然 较落后的阶段，对一些复杂的攻击根本无法实现有效 而在实现方面始终存在一些问题。下面简要地介绍几 定位。 种目前普遍认为可行性较大的理论的适用范围及其 在当前这种现实情况下，社会服务转向网络却成 不足： 为一种全球趋势。因此研究IP跟踪、定位网络攻击的 1．1逐跳逆向追踪 必须性也与Et俱增。有效地定位攻击才能更好地阻止 逐跳逆向追踪是目前最基本最常用的lP追踪方 攻击，从长远看甚至关系到一个国家的生存和繁荣。 法，对正在进行中的DoS攻击的追踪效果较好。但是 定位攻击，从而取证，实施法律诉讼、经济制裁、军事行 该方法只适用于对大流量、持续数据包流的追踪，且要 动等，是对攻击的有效威慑，可以防止攻击的发生。定 求是实时的，不能够在事后进行追踪；还需要攻击流所 位也有助于了解攻击技术的细节，有助于防御技术的 经过的各ISP提供合作，假如其中有一个不提供合作则 提升，从而有效阻止未来的类似攻击。有效地定位可 追踪失败；如果攻击在追踪完成之前已结束，追踪同样 以在攻击发生的过程中终止攻击。在攻击进行的过程 无法圆满完成。逐跳逆向追踪工作量大，所需的跨ISP 中发现、定位、阻止甚至终止攻击与在攻击发生后追究 辖区、司法辖区、国界的合作也往往由于种种原因无法 责任、统计损失相比更有积极意义。 实现：对于DDoS这种攻击包由大量的攻击点发出，各 文章第2部分介绍现有主要lP跟踪方法的适用范 攻击点所发出的攻击包相应较少的攻击同样没有实际 围及其存在的问题：第3部分介绍文章提出的新的利 意义。 用双标记的IP定位方法；最后的第4部分对文章提出 1．2入口过滤器 的新方法进行总体评价o 在即辖区内的每个边界路由器上安装入口过滤 器[21可以大大减少源地址欺诈IP包出现的可能。这 2现有的方法及存在的问题 种方法似乎很理想，然而会加大ISP的投入，而且由攻 众所周知，IP协议本身对匿名性的相关限制太少。 击者发出的攻击是否应该让lsP去检测和避免值得商 1985年，Morris曾在[1]中指出： 榷。此外入口过滤器也会使一些网络服务无法实现， “IP协议存在缺陷：数据包的产生主机自己填充包 如IPTunnel，VPN等o 万方数据 2008年第12期 计算机系统应用