IP溯源技术研究.doc

IP溯源技术研究    摘 要拒绝服务攻击是目前最难处理的网络难题之一,研究人员对其提出了多种解决方案,其中IP溯源是比较理想的一种。IP溯源技术利用路由器作为中间媒介,可以追溯到发送带有伪造地址报文的攻击者的真实位置。本文介绍了几种常见的IP溯源技术,分析比较了它们的优缺点,并对该技术的发展提出了展望。   关键词IP溯源;DoS;拒绝服务 1 引言   在制定目前因特网上使用的网络协议标准时,设计者把“端到端的透明性”作为互联网体系架构的核心设计理念,将互联网上通信相关的部分(IP网络)与高层应用(端实体)分离,大大简化了网络设计,但由此也带来了很多缺陷。例如与报文安全相关的服务,如可靠传输、集中控制和安全认证,都发生在进行通信的端实体上。网络报文的内容包括头信息,都是由报文的发送者自行填入,这就产生了协议漏洞:报文发送者可以填入伪造的虚假源地址。这一点往往被攻击者利用,他们可以隐藏自己的真实IP地址,冒充其它终端进行通信。DoS攻击就是利用了该协议漏洞进行攻击。   IP溯源技术的最终目标是能够定位攻击源的位置,推断出攻击报文在网络中的穿行路线,从而找到攻击者。成熟有效的溯源技术对网络黑客有一定的震慑作用,可以迫使他们为了防止被追踪到而减少甚至停止恶意攻击行为。本文首先介绍了常见的DoS攻击方式,接着对几种有代表性的IP溯源技术进行较详细的分析探讨,并指出了它们的优缺点。2  DoS攻击简介   DoS(Denial-of-Service)攻击,是一种常见的网络攻击行为。这种攻击通过发送带有虚假源地址的数据包请求,使网络中大量充斥待回复的信息,消耗网络的带宽或者系统资源,使网络或者系统服务负载过重,服务质量下降,直至瘫痪而停止正常服务。有时攻击者为了提高攻击的效果,往往会联合多个攻击站点向受害者发动进攻。 常见的DoS攻击方式   1)TCPSYNattack   TCP协议中,如果通信双方要建立连接,必须先完成三次握手过程。如果在握手过程中,客户端向服务端发出一个请求SYN之后,对于服务端发出的SYN+ACK置之不理,则服务端永远无法得到客户端的ACK包来完成三次握手,于是服务端就会等到超时再把这个连接结束掉。攻击者利用这个特性,在短时间内发送大量的SYN要求,造成服务端保持的连接数达到最大限度,无法再接收任何正常的连接请求,从而达到拒绝服务的目的。   2)UDPFloodattack   针对使用UDP协议的服务,由于通信双方不用事先建立连接,因此攻击者可以发送大量的UDP封包到服务端,并且将地址伪造成另一台服务器,从而造成这两台服务器之间的网络流量持续不断的存在。   3)ICMPFloodattack   ICMP(ControlMessageProtocol)用来测试网络的状态,最常用的便是ping命令。攻击者常在伪造源IP之后,将大量的ICMP封包大量的送至服务端,则服务器主机回应等量的ICMP封包到假造来源的IP网络上,直接造成服务器与被伪造IP之间的网络流量大量增加,没有多余的带宽可以让正常使用者使用。   4)ICMPSmurfFloodattack   这种攻击方式也是利用ICMP协议,只不过把目标指向广播地址。如果攻击者在源地址中填入某个网络的广播地址,那么被攻击者送回的响应包将发往整个子网域,因而