IP溯源技术研究.doc

IP 溯源技术研究 IP 溯源技术研究刘森松朱正超(江南计算技术研究所,江苏无锡 214083 ) 摘要拒绝服务攻击是目前最难处理的网络难题之一,研究人员对其提出了多种解决方案, 其中 IP 溯源是比较理想的一种。 IP溯源技术利用路由器作为中间媒介, 可以追溯到发送带有伪造地址报文的攻击者的真实位置。本文介绍了几种常见的 IP 溯源技术,分析比较了它们的优缺点,并对该技术的发展提出了展望。关键词 IP 溯源; DoS ;拒绝服务 1 引言在制定目前因特网上使用的网络协议标准时, 设计者把“端到端的透明性”作为互联网体系架构的核心设计理念, 将互联网上通信相关的部分( IP 网络)与高层应用(端实体)分离,大大简化了网络设计, 但由此也带来了很多缺陷。例如与报文安全相关的服务, 如可靠传输、集中控制和安全认证, 都发生在进行通信的端实体上。网络报文的内容包括头信息, 都是由报文的发送者自行填入, 这就产生了协议漏洞: 报文发送者可以填入伪造的虚假源地址。这一点往往被攻击者利用,他们可以隐藏自己的真实 IP 地址,冒充其它终端进行通信。 DoS 攻击就是利用了该协议漏洞进行攻击。 IP 溯源技术的最终目标是能够定位攻击源的位置,推断出攻击报文在网络中的穿行路线, 从而找到攻击者。成熟有效的溯源技术对网络黑客有一定的震慑作用, 可以迫使他们为了防止被追踪到而减少甚至停止恶意攻击行为。本文首先介绍了常见的 DoS 攻击方式, 接着对几种有代表性的 IP 溯源技术进行较详细的分析探讨,并指出了它们的优缺点。 2 DoS 攻击 DoS 攻击简介 DoS(Denial-of-Service) 攻击,是一种常见的网络攻击行为。这种攻击通过发送带有虚假源地址的数据包请求, 使网络中大量充斥待回复的信息, 消耗网络的带宽或者系统资源, 使网络或者系统服务负载过重, 服务质量下降, 直至瘫痪而停止正常服务。有时攻击者为了提高攻击的效果,往往会联合多个攻击站点向受害者发动进攻。 常见的 DoS 攻击方式 1) TCP SYN attack TCP 协议中, 如果通信双方要建立连接, 必须先完成三次握手过程。如果在握手过程中,客户端向服务端发出一个请求 SYN 之后,对于服务端发出的 SYN+ACK 置之不理, 则服务端永远无法得到客户端的 ACK 包来完成三次握手, 于是服务端就会等到超时再把这个连接结束掉。攻击者利用这个特性, 在短时间内发送大量的 SYN 要求, 造成服务端保持的连接数达到最大限度,无法再接收任何正常的连接请求, 从而达到拒绝服务的目的。 2) UDP Flood attack 针对使用 UDP 协议的服务,由于通信双方不用事先建立连接,因此攻击者可以发送大量的 UDP 封包到服务端, 并且将地址伪造成另一台服务器,从而造成这两台服务器之间的网络流量持续不断的存在。 3) ICMP Flood attack ICMP( Control Message Protocol) 用来测试网络的状态, 最常用的便是 ping 命令。攻击者常在伪造源 IP 之后, 将大量的 ICMP 封包大量的送至服务端, 则服务器主机回应等量的 ICMP 封包到假造来源的 IP 网络上, 直接造成服务器与被伪造 IP 之间的网络流量大量增加,没有多余的带宽可以让