IP溯源技術(shù)及其分類方法探究

1、ip溯源技術(shù)及其分類方法探究摘要：缺乏統(tǒng)一分類方法是影響ip溯源技術(shù)研究與應(yīng)用 的重要因素，論文研究了各種ip溯源技術(shù)原理與特點(diǎn)，提 出按行為模式、結(jié)構(gòu)構(gòu)成、實(shí)現(xiàn)層次、實(shí)現(xiàn)方式、適用范圍 五方面構(gòu)建ip溯源技術(shù)分類方法體系，應(yīng)用此方法對當(dāng)前 主要ip溯源技術(shù)進(jìn)行了分類。關(guān)鍵詞：ip溯源技術(shù)；溯源技術(shù)特點(diǎn)；溯源技術(shù)分類 中圖分類號：tp393文獻(xiàn)標(biāo)識碼：a文章編號： 1009-3044 (2012) 13-3044-03ip traceback and analysis to wards a classif ica tion of mechanismslin bai-lu,yang bai-lo

2、ng, mao jing,wu peng-hui(the second artillery engineering college, xi， an 710025,china)abstract： classification of mechanisms is a key element to the research and application of ip traceback. this paper explores nature and characters of different ip traceback mechanisms, gives a classification towar

3、ds ip traceback from five different aspects： behavior, strueture, layer of actualization, mode of actualization, applicable area. moreover, this paper classifies important ip traceback mechanisms by using this classificatiori.key words： ip traceback； characters of ip traceback； classification of ip

4、traceback隨著網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，ip溯源技術(shù)(ip traceback)作為一種主動網(wǎng)絡(luò)安全技術(shù)的地位和作用日益 突出，新的技術(shù)和手段不斷涌現(xiàn)，但當(dāng)前尚缺乏對這一新興 技術(shù)統(tǒng)一、完善的分類方法，在一定程度上影響和制約了其 研究和應(yīng)用，因此，對ip溯源技術(shù)分類方法的研究具有重 要意義。1 ip溯源技術(shù)ip溯源技術(shù)(ip traceback)又名追蹤技術(shù)，指通過技 術(shù)手段，將內(nèi)容、網(wǎng)絡(luò)行為以及應(yīng)用行為等追溯到該行為發(fā) 起者。ip溯源技術(shù)產(chǎn)生、發(fā)展及研究現(xiàn)狀綜述如下。首個(gè)有影響力的溯源技術(shù)是概率包標(biāo)記溯源法 (probabilistic packet marking),由 savage

5、等人1在 2000年提出，原理是路由器以某種概率標(biāo)記通過此路由器的 數(shù)據(jù)包，標(biāo)記信息為數(shù)據(jù)包部分路徑信息，受害者收到足夠 數(shù)量帶有標(biāo)記的數(shù)據(jù)包，就能夠重構(gòu)出攻擊路徑。對數(shù)據(jù)包 進(jìn)行標(biāo)記、以便在受攻擊后依據(jù)標(biāo)記識別攻擊路徑這一思想 對后來的研究影響深遠(yuǎn)，belenky等人2于2003年提出了 另一包標(biāo)記類經(jīng)典技術(shù)一一確定包標(biāo)記溯源法(deterministic packet marking),僅由邊界路由器標(biāo)記 ip包，受害者可獲得相應(yīng)入口地址和攻擊源所在子網(wǎng)，相比 于概率包標(biāo)記溯源法，此方法顯得簡單而高效。其他研究者 在包標(biāo)記思想的基礎(chǔ)上對標(biāo)記信息和算法進(jìn)行了優(yōu)化，提出 了許多改進(jìn)的方法，如h

6、aipeng qu等人3把每個(gè)路由器的 地址分成前后兩個(gè)16bit塊，分別使用hashl和hash2兩個(gè) 函數(shù)處理后再和原地址分塊拼接后得到4個(gè)標(biāo)記向量，標(biāo)記 算法和路徑恢復(fù)算法都是以一定的方式處理矩陣向量，誤報(bào) 率和收斂性方面好于基本標(biāo)記算法；李剛等人4提出了 一 種伸縮性的包標(biāo)記策略，可以通過更少的數(shù)據(jù)包更快的定位 出攻擊源等。還有的研究者在標(biāo)記范圍上做了改變，如自治 域粒度的包標(biāo)記(as packet marking),僅在包進(jìn)入一個(gè)自 治域時(shí)進(jìn)行標(biāo)記，降低了算法的復(fù)雜度。另一影響較廣的方法是日志記錄溯源法(logging),原 理是在數(shù)據(jù)包的傳輸路途中，路由器將數(shù)據(jù)包的信息記錄下 來，

7、攻擊發(fā)生時(shí)，就可以憑借記錄逐步查找到攻擊源o snoren 等人5提出了基于摘要(hash)的ip追蹤方法，記錄信息 摘要，節(jié)省存儲空間。基于日志記錄也有許多改進(jìn)算法，此 處不一一枚舉。bellovin在2003年提出通知溯源法(icmp) 6,原理 是當(dāng)一個(gè)數(shù)據(jù)包通過一個(gè)路由器時(shí)，該路由器可以一定的概 率同時(shí)向數(shù)據(jù)包的發(fā)送方和接收方發(fā)送帶認(rèn)證的icmp追蹤 信息，受害主機(jī)根據(jù)與攻擊數(shù)據(jù)報(bào)相關(guān)的icmp信息重構(gòu)攻 擊路徑。指紋溯源法(thumbprint traceback) 7,又稱特征 值溯源，原理是網(wǎng)絡(luò)連接具有不同形式的特征，每個(gè)登錄連 接鏈的特征具有唯一性，將每個(gè)登錄連接鏈的唯一特征量

8、 化，以得到的特征值區(qū)分不同的登錄連接鏈，其中指紋有多 種，現(xiàn)有的研究主要集中在傳輸時(shí)間指紋、內(nèi)容指紋、流量 指紋、tcp序列號指紋。受控洪泛溯源法是一種針對ddos攻擊的溯源法，原理 是8網(wǎng)管人員在受攻擊設(shè)備的上游設(shè)備上向下游每個(gè)鏈路 發(fā)送大量的udp報(bào)文，人為制造擁塞，路由器的緩沖區(qū)是共 享的，來自負(fù)載較重的連接上的報(bào)文被丟失的概率相應(yīng)較 大，通過向某個(gè)連接發(fā)送"洪泛數(shù)據(jù)”后攻擊報(bào)文減少，就 可以確定該連接是否傳輸了攻擊報(bào)文。逐跳追蹤溯源法(hop-by-hop)原理是9攻擊發(fā)生時(shí), 追蹤程序首先查詢離受害主機(jī)最近的路由器，比較進(jìn)入分組 的源地址和路由表信息，發(fā)現(xiàn)欺騙分組就查詢上

9、游路由器， 如此反復(fù)直到最終的攻擊源。通信流層水印溯源法原理是10在特定通信流中嵌入 水印信號，該信號隨通信流傳播到接收方后被提取出來，兩 端信號進(jìn)行對比以確定雙方通信關(guān)系。監(jiān)測中心溯源法原理是7在各自治域中部署監(jiān)測中 心，以此監(jiān)控網(wǎng)絡(luò)中數(shù)據(jù)分組的傳輸，一旦發(fā)現(xiàn)攻擊，受害 者所在自治域的監(jiān)測中心與其他相鄰的自治域的監(jiān)測中心 進(jìn)行詢問來確定攻擊分組的來源，往復(fù)這個(gè)過程最終找到攻 擊源。時(shí)至今日，仍舊沒有一套溯源系統(tǒng)真正在網(wǎng)絡(luò)中部署運(yùn) 用。國內(nèi)ip溯源技術(shù)的研究仍以理論研究為主，而美國、 日本在區(qū)域范圍內(nèi)進(jìn)行積極的實(shí)驗(yàn)與應(yīng)用推進(jìn)。ip溯源技術(shù) 研究除了在理論、算法上不斷優(yōu)化，還將向著更符合實(shí)際應(yīng)

10、用環(huán)境的方向發(fā)展。2 ip溯源技術(shù)分類2. 1 ip溯源技術(shù)分類研究現(xiàn)狀科學(xué)分類有利于新技術(shù)學(xué)習(xí)、研究和應(yīng)用，然而由于ip 溯源技術(shù)尚處于研究探討階段，盡管有研究者把溯源技術(shù)按 性能指標(biāo)分類，性能好壞卻難以給出一個(gè)判定標(biāo)準(zhǔn)，有的研 究者僅按照理論上的功能進(jìn)行分類，缺乏與實(shí)際應(yīng)用的結(jié) 合。總體來說，現(xiàn)有的分類方法都存在不夠全面、覆蓋面窄、 缺乏對實(shí)踐指導(dǎo)等問題，至今尚未形成較統(tǒng)一的分類方法體 系。2.2 ip溯源技術(shù)分類方法通過對不同溯源技術(shù)原理和特點(diǎn)的研究，該文提出按溯 源的行為模式、結(jié)構(gòu)構(gòu)成、實(shí)現(xiàn)層次、實(shí)現(xiàn)方式、適用范圍 五個(gè)方面構(gòu)建ip溯源技術(shù)分類體系。(1) 按溯源行為模式分類按溯源行為

11、模式，可將ip溯源技術(shù)分為前攝溯源和反 應(yīng)溯源，仇小鋒等人9的論文中就采用了這種分類方法。 前攝溯源是在分組傳輸過程中記錄溯源所需的信息，需要進(jìn) 行溯源時(shí)，參考先前記錄的信息即可標(biāo)識出攻擊源。反應(yīng)溯 源是在檢測到攻擊之后才開始溯源行為，這類方法往往從攻 擊路徑的終點(diǎn)開始，沿實(shí)際攻擊路徑的相反方向回溯到攻擊 源。前攝溯源的優(yōu)點(diǎn)是主動記錄，不易受到攻擊者的實(shí)時(shí)影 響，缺點(diǎn)是非攻擊發(fā)生期間還要消耗網(wǎng)絡(luò)資源，增加管理成 本；反應(yīng)溯源的優(yōu)點(diǎn)是節(jié)省資源，但無法滿足事后追蹤需求, 且易受攻擊者偽裝的誤導(dǎo)。(2) 按溯源結(jié)構(gòu)構(gòu)成分類按溯源結(jié)構(gòu)構(gòu)成，可將ip溯源技術(shù)分為分布式溯源和 集中式溯源。集中式溯源原理較

12、為簡單，實(shí)現(xiàn)較為容易，但 溯源模塊一旦遭遇攻擊癱瘓，溯源就無法實(shí)現(xiàn)，且穩(wěn)定性和 魯棒性不強(qiáng)；分布式溯源較為穩(wěn)定和安全，但它較為復(fù)雜， 且有同步和響應(yīng)協(xié)調(diào)的問題。(3) 按溯源實(shí)現(xiàn)層次分類按實(shí)現(xiàn)層次，可將ip溯源技術(shù)分為通信流層溯源技術(shù)、 協(xié)議層溯源技術(shù)和應(yīng)用層溯源技術(shù)。通信流層溯源技術(shù)對通 信流進(jìn)行改動；協(xié)議層溯源技術(shù)需要改變現(xiàn)有協(xié)議和報(bào)文結(jié) 構(gòu)；應(yīng)用層溯源技術(shù)不需要改變通信流和協(xié)議，主要靠程序 實(shí)現(xiàn)，也可能需要改變路由器功能。就現(xiàn)有網(wǎng)絡(luò)環(huán)境，應(yīng)用 層的溯源技術(shù)較易部署。（4）按溯源實(shí)現(xiàn)方式分類按溯源實(shí)現(xiàn)方式，可將ip溯源技術(shù)分為主動詢問類、 數(shù)據(jù)監(jiān)測類、路徑重構(gòu)類、特征比對類。陳周國等人11

13、率 先使用了這種分類方法，但其分類中未包括特征比對類溯 源。主動詢問類溯源法通過主動詢問數(shù)據(jù)流可能經(jīng)過的所有 路由器，確認(rèn)其流向路徑的機(jī)制；數(shù)據(jù)監(jiān)測類溯源法通過對 數(shù)據(jù)包及流量進(jìn)行監(jiān)測來發(fā)現(xiàn)攻擊并查找攻擊源；路徑重構(gòu) 類溯源法是通過在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包中編入路徑信息或 者單獨(dú)發(fā)送含有路徑信息的數(shù)據(jù)包，接收端通過收集這些包 含路徑信息的數(shù)據(jù)包，并根據(jù)一定的路徑重構(gòu)算法實(shí)現(xiàn)重構(gòu) 攻擊數(shù)據(jù)包路徑的目的；特征比對類溯源法通過對不同連接 鏈特征的比對來確定攻擊源。（5）按溯源適用范圍分類按溯源技術(shù)的適用范圍，可將ip溯源技術(shù)分為適于自 治域級（as級）、跨區(qū)域級、全網(wǎng)絡(luò)級的溯源技術(shù)。每種ip 溯源技術(shù)在

14、其被提出時(shí)基本都被期望適用于整個(gè)網(wǎng)絡(luò)，然而 這并不現(xiàn)實(shí)，因?yàn)樗菰捶椒ū旧淼膮^(qū)別，使得不同的溯源技 術(shù)適用范圍有所不同。例如高準(zhǔn)確度、高效的溯源技術(shù)往往 伴隨著巨大的網(wǎng)絡(luò)開銷，相對較適合區(qū)域網(wǎng)絡(luò)，避免跨越網(wǎng) 絡(luò)提供商，避免造成全網(wǎng)擁塞。本方法從不同溯源技術(shù)本質(zhì)、特性出發(fā)，五個(gè)分類方法 組成一個(gè)分類體系，每個(gè)分類角度中的不同類別都各具特 點(diǎn)，便于從不同角度對溯源技術(shù)進(jìn)一步研究，也便于實(shí)際應(yīng) 用和部署時(shí)對具體技術(shù)路線進(jìn)行分析和選擇。2. 3分類結(jié)果運(yùn)用此分類方法體系對當(dāng)前主要ip溯源技術(shù)進(jìn)行清晰、 科學(xué)的分類。表1列出了分類結(jié)果。3結(jié)束語ip溯源技術(shù)及其分類均是當(dāng)前網(wǎng)絡(luò)安全技術(shù)研究熱點(diǎn)， 隨著研究和

15、應(yīng)用的深入，新的溯源技術(shù)將不斷涌現(xiàn)，其分類 方法也將在研究和實(shí)踐中不斷得到完善。參考文獻(xiàn)：1 savage s, wethheralld, karlin a,et al.practical network support forip tracebackj. acmsigcomm computer communicationreview, 2000,30(4)：295-306.nirwan. ip tracebackmarkingj. ieee2 belenky andrey, ansariwithdeterministicpacketcommunications letters, 2003,

16、7(4):162-164.3 haipeng qu,dequan li. an ip traceback scheme with packet marking in blocksjjournal of computer research and development, 2005, 42(12):2084-2092.4 李剛，黃旭，張健沛基于自適應(yīng)包標(biāo)記的ip源追蹤 方案j微計(jì)算機(jī)信息,2010, 26(12-3)： 3-5.5 snoren a c, partridge c, sanchez l a. hash-based ip tracebackc /proc of conference

17、on application, technologies, architectures, and protocols for computer communications. new york： acm, 2001:314.6 bellovin s, leech m, lor t t. icmp traceback messages eb/0l, 2003 (8)7 陳劍勇，滕志猛，鄭水金.ip溯源技術(shù)及其標(biāo)準(zhǔn)化j. 通信技術(shù)與標(biāo)準(zhǔn)，2007, 16.8 陳光華分布式拒絕服務(wù)攻擊及ip溯源技術(shù)探析j. 數(shù)字技術(shù)與應(yīng)用，2010(8):158-159.9 仇小鋒，陳鳴.ip溯源技術(shù)j電子測量與儀器學(xué) 報(bào),2004, 18(