浅析IP溯源技术发展应用.docVIP

浅析IP溯源技术发展应用 　　摘 要：目前的网络中拒绝服务攻击是亟待解决的难题之一，而IP溯源是针对此类问题最佳的解决方式。该种技术能够利用路由器为中间媒介，直接对攻击者的真实位置进行追溯，摒除其伪造地址。文章针对目前所使用的IP溯源技术进行了分析，比较了几种技术的优势和缺陷，对IP溯源技术的发展予以了展望。 　　关键词：网络；拒绝服务；IP溯源 　　1 引言 　　在对目前网络协议标准进行制定的过程中，设计者的设计重点在于网络体系架构上，而一般设计者都会将端到端之间的透明性作为核心理念，将IP网络同端实体之间相互分离，这样在设计上将网络结构予以简化，但是随之而来的问题也无法予以忽视。其中拒绝服务攻击是目前网络安全的威胁之一，而IP溯源技术能有效锁定攻击源的真实位置，推断伪造地址发来的攻击报文来自网络中的真是路线，从而对攻击者予以定位。溯源技术能够在一定程度上震慑黑客，迫使攻击者为了不至被追踪到而放弃攻击或者减少攻击。文章主要对DOS攻击的方式进行了论述，并针对具有代表性的集中IP溯源技术予以分析，对其优势以及缺陷进行了比较。 　　2 DOS攻击 　　2.1 DOS攻击概述 　　网络攻击中DOS攻击是最为常见的方式之一，这种攻击方式主要通过发送数据包请求的方式使得网络中待回复信息量急剧增加，从而耗费网络资源或者带宽，直接性导致网络服务过载，降低服务质量的一种方式，由于数据包请求地址为虚假地址，因此具有恶意性，若数据包请求量过大，严重者可以导致系统瘫痪，影响系统的正常运行。而为了提高攻击质量，多站点联合的攻击方式往往是攻击者常常选用的方式，从而加大了受害者系统以及网络的损害程度。 　　2.2 常见的DOS攻击方式 　　2.2.1 TCP SYN attack 　　TCP协议中，如果通信双方要建立连接，必须先完成三次握手过程。如果在握手过程中，客户端向服务端发出一个请求SYN之后，对于服务端发出的SYN+ACK置之不理，则服务端永远无法得到客户端的ACK包来完成三次握手，于是服务端就会等到超时再把这个连接结束掉。攻击者利用这个特性，在短时间内发送大量的SYN要求，造成服务端保持的连接数达到最大限度，无法再接收任何正常的连接请求，从而达到拒绝服务的目的。 　　2.2.2 UDP Flood attack 　　针对使用UDP协议的服务，由于通信双方不用事先建立连接，因此攻击者可以发送大量的UDP封包到服务端，并且将地址伪造成另一台服务器，从而造成这两台服务器之间的网络流量持续不断的存在。 　　2.2.3 ICMP Flood attack 　　ICMP用来测试网络的状态，最常用的便是ping命令。攻击者常在伪造源IP之后，将大量的ICMP封包大量的送至服务端，则服务器主机回应等量的ICMP封包到假造来源的IP网络上，直接造成服务器与被伪造IP之间的网络流量大量增加，没有多余的带宽可以让正常使用者使用。 　　2.2.4 ICMP Smurf Flood attack 　　这种攻击方式也是利用ICMP协议，只不过把目标指向广播地址。如果攻击者在源地址中填入某个网络的广播地址，那么被攻击者送回的响应包将发往整个子网域，因而造成网络拥塞。 　　2.3 DOS攻击发展基础 　　据不完全统计，拒绝服务攻击事件正在呈现逐年上升的趋势，对其根本原因进行分析：首先DOS攻击在实施上较为简便，网络上类似的工具种类繁多，攻击者只需要将这些工具下载下来就能够实施攻击，破坏受害者的系统；其次，相比较于特权提升攻击，该种攻击方式在攻击程序上较为简便，不需要进行交互处理，即无需同受害者进行沟通，因此在攻击时能够隐藏自身原始IP，或者伪造IP，使得受害者无法找寻数据包来自何方，无法采取有效的措施予以防范或者消除攻击的不利影响。并且还无法找寻到确切的攻击者，因而无法追求责任。这也是DOS攻击难以防范的主要原因。所以对于DOS攻击者的追踪成为了当前网络安全技术发展的主要方向，如果能够有效追溯到攻击者确切位置确定攻击者身份，那么就能够有效约束其攻击行为，降低拒绝服务攻击。 　　3 链接测试 　　溯源技术的基础是受害者的路由器，这也是进行溯源的首要步骤，通过对多数的溯源技术都是从最接近受害者的路由器开始，对上行数据链进行逐一排查，直到寻找到攻击源头。若检查效果理想，那么可以逐步对该过程进行递归，直到寻找到攻击源头位置。这种方式并非万能，只有在攻击过程中予以使用才能够寻找到攻击源，若是攻击为间歇性攻击或者攻击已经结束，利用该中方式则很难进行追踪。 　　3.1 入流量调试 　　该种功能是很多路由器自身都会带有的，这种功能能够为管理员提供数据包的过滤功能，并决定数据包的入口点。因此IP溯源技术便可以利用这一特点，首先受害者在遭到攻击后，