移動ＩＰｖ６中的攻擊源追蹤問題研究

摘要：著重于移動IPv6架構下的攻擊源追蹤問題研究，給出了IPv6中新的包標記算法和包采樣算法，并針對移動環境中不同的攻擊模式提出了有針對性的攻擊源追蹤策略。該方法的結合使用可以有效降低移動IPv6中的攻擊源追蹤難度。

關鍵詞：網絡安全； 移動IPv6； 攻擊源追蹤

中圖分類號：TP393．08文獻標志碼：A

文章編號：1001－3695(2008)03－0903－03

隨著因特網在全球的日益普及，網絡用戶往往要面臨各種攻擊。雖然其目的各不相同，但幾乎所有的熟練攻擊者都會使用偽造的源地址來避免被定位。因此如何準確追蹤到攻擊源成為網絡安全技術研究的難點和熱點。目前的技術主要可分為兩類，即基于包和基于路徑。前者以包取樣法[1]為代表；后者以包標記法[2~4]為代表。

早期追蹤技術的研究基本上是基于IPv4的。而隨著IPv4局限性的逐步體現，IPv6正以其巨

大的優越性越來越得到人們的關注，其取代IPv4只是時間的問題。移動節點的無縫連接問題導致了移動IP的出現，從移動IPv4到移動IPv6，各種標準逐漸成熟，IP協議在移動環境下的應用正逐步擴大。鑒于移動IP協議與固定的有諸多不同之處，有必要對移動IPv6下的攻擊源追蹤問題進行深入研究。

1移動IPv6及相關安全問題

1．1移動IPv6

TCP/IP網絡的路由框架使用IP地址來表示網絡中某個設備接口的拓撲位置，基于網絡的上層應用根據一對IP地址來標志一個鏈接。在移動網絡環境中，主機或其他移動設備必須要能夠自由改變地理或拓撲位置，這將導致IP地址的改變，從而影響上層應用。為了解決移動網絡中的通信問題，IETF定義了移動IPv6，使得IPv6節點可以移動，并且在移動過程中仍然保持現有的連接。目前移動IPv6的正式標準是RFC 3775[5]。

每一個移動節點（mobile node，MN）會被賦予一個家鄉地址（home address， HoA）。家鄉網絡中的一個特殊節點將作為移動節點漫游到外地時的通信代理，稱為家鄉代理（home agent， HA）。當移動節點進入外地網絡時，它將會獲得一個轉交地址（careof address， CoA），移動節點使用轉交地址在家鄉代理處注冊，以便通知它現在的位置。當對端節點（correspondent node， CN）第一次與漫游中的移動節點通信時，它將發送數據包到家鄉地址，此時家鄉代理截獲數據包，并通過隧道轉發給移動節點。移動節點接收到數據包后，可以發送HoACoA地址綁定更新消息給對端節點。更新成功后，來自對端節點的報文將直接發送到移動節點的轉交地址，無須再經過家鄉網絡。圖1表示了移動IPv6的通信過程。

HA:家鄉代理MN:移動節點CN:對端節點

Src:源地址Des:目的地址HoA:家鄉地址CoA:轉交地址

當移動節點向對端節點發送數據包時，它使用轉交地址作為IPv6報頭的源地址，并且在目的地選項擴展報頭（destination options header）中包括家鄉地址選項；對端節點收到此類數據包后，交換源地址與擴展報頭中的家鄉地址，該家鄉地址將被提供給上層應用。對于反向數據通信，對端節點將移動節點的轉交地址作為包的目的地址；同時在第二類路由擴展報頭（type 2 routing header）中攜帶了移動節點的家鄉地址，所有轉發路徑上的IPv6節點必須檢查其中包含的地址是否是自己的家鄉地址。如果是則接收數據包；否則轉發。

1．2移動IPv6中的安全問題

任何移動解決方案都必須有保護，以防止攻擊者對移動特性和機制的惡意利用。在移動IPv6中，絕大多數潛在威脅都與失敗綁定相關，它通常會導致拒絕服務攻擊。同時，這些威脅也可能會導致中間人攻擊（maninthemiddle attack）、劫取攻擊（hijacking attack）、機密性攻擊（confidentiality attack）和偽裝攻擊（impersonation attack）。對于移動IPv6來說，應主要預防下列威脅：

a）與發送至家鄉代理和對端節點的綁定更新相關的威脅。例如，一個攻擊者可能在綁定更新消息中聲稱某一移動節點正在一個不同的位置，而不是其實際位置來欺騙家鄉代理或對端節點，這將使數據被重定向，從而產生拒絕服務、竊聽等諸多安全問題。

b）與負載數據包相關的威脅。與移動節點交換的負載數據包被認為與普通的IPv6流量具有相似的威脅，然而，在移動IPv6中引入了家鄉地址目的地選項及新的路由報頭類型，并且在負載數據包中使用了隧道報頭，這將會引起一些新的安全威脅，如利用家鄉地址目的地選項的反射攻擊（reflection attack）。

c）動態家鄉代理和移動前綴發現相關的威脅。這往往會使得攻擊者獲得攻擊所需的網絡參數。

d）針對移動IPv6本身的威脅，如攻擊者可以引誘參與者執行代價高昂的密碼操作，或為保持相應狀態而分配內存，從而實現資源耗盡的拒絕服務攻擊。

移動IPv6采取了許多措施來降低上述安全威脅：使用家鄉代理與移動節點之間的安全聯盟（security association）來防止來自它們之間的攻擊；利用返回路由可達過程(return routability procedure)來測試移動節點地址的真實性；制定一定規則限制自由使用家鄉地址目的地選項（destination options）、路由報頭（routing header）和隧道報頭（tunneled packet hea￣der），等等。但是，針對移動IPv6的攻擊將始終是存在的，因此除了被動防御之外，主動追蹤攻擊源也是很重要的反擊手段。

2移動IPv6中的攻擊源追蹤

在移動IPv6的環境下，攻擊可能來自移動節點和固定節點；同樣，被攻擊者也可能是固定節點或移動節點。以下分別就不同的情況加以討論。

2．1固定節點對固定節點

這種情況等同于固定IPv6。此時，攻擊者可能是處于網絡任意位置的固定節點，而被攻擊者可能是家鄉代理或非移動的對端節點。此時對攻擊源的追蹤可以采用包采樣法或包標記法。

IPv4下的基于包采樣法和包標記法的攻擊源追蹤算法在文獻[1~3]中已分別有比較詳細的闡述，因此此處對具體算法不再贅述，僅給出在IPv6下必需的改動，并對包采樣法中使用的存儲技術BloomFilter作進一步的討論。

1）包采樣法在路由器處對轉發的數據包計算摘要并存儲結果（采樣），在尋找攻擊源時通過比較摘要來逐跳地回溯到源點，如在路由器R處存有包P的摘要值x，即可確定P經過R。采樣法的優點是可以對單個包進行追蹤，缺點是占用路由器的資源較多[1]。

對包的采樣必須取報頭中不變的部分作為輸入。一般來說，IPv6報頭在傳輸過程中不變的部分是版本（4位）、有效載荷長度（16位）、下一個報頭（8位）、源地址（128位）。太低的取樣輸入會導致高的沖突率，而過高的輸入會導致計算成本的增加。綜合考慮，可以使用上述不變化的報頭域加上凈荷的前84位一共30 Byte的內容用做取樣的輸入。

為了降低摘要值的存儲需求，應用了BloomFilter[6]技術來儲存，如圖2所示。

路由器R使用一個長度為m的向量v（Bloom filter）來存儲包的取樣值，v初始全為0（圖2中右邊，陰影部分為0）。對于轉發的數據包P，R用k個相互獨立的hash函數分別計算摘要值H1(P)，H2(P)，…，Hk(P)，并以摘要值為索引置v中相應位置為1，如H3(P)＝1001（10進制的值9），則置第9位為1（實際情況中，hash函數的輸出長度與m有關，即|Hi(P)|≤log2 m）。對于某個特定的包，若k個位置均為1，則認為該包經過R。若共對n個包進行了采樣，則稱c=m/n為每項存儲率。與簡單存儲摘要值相比，該策略可以有效降低存儲量。從下面的定理可以看出，BloomFilter的誤報率是可以控制在一定范圍的。

例如當c＝5時（用長度為5n的向量存儲n個包），k的值為5×ln 2≈3.47，此時Bloomfilter誤報率將不超過0.090 3，可以取適當的k值在性能與成本間獲得平衡。

2）包標記法在路由器處對轉發的包在其頭部特定位置寫入自身與下一跳所構成的路徑上一條邊的信息，被攻擊者可以通過這些邊信息重構出整個攻擊路徑。在IPv4下的標記算法中，報頭中的標域（identification）被用來寫入邊信息（重載）。由于IPv6中已經取消了報頭的標志域，傳統的重寫標志域的標記算法[2]在IPv6中不再適用。

IPv6使用基本報頭中的8位業務流類別（traffic class）和20位流標簽（flow label）來標志需要特別處理的業務流。目前英特網中的需求還不明確，絕大部分的IPv6路由器都不支持該功能，因此可以使用這兩個域來寫入邊信息。

IPv6下的標記算法與文獻[3]中所述的高級包標記策略基本一致，不同之處在于AMS是工作在IPv4下，所以兩者選擇的報頭重載域不同。IPv6下，上述28位空間中的5位用來表示進行標記的路由器距離被攻擊者的跳數（絕大部分的通信距離都不會超過32跳），稱為距離域；3位用于指出使用的hash函數，稱為函數索引域（使用函數族以降低沖突率，必須在標記時說明使用的是哪個函數）；其余的20位用來寫入路由器地址R的hash值H(R)，稱為地址域。路由器使用概率p來決定是否對轉發的包標記。當決定標記時，路由器置距離域為0，在地址域寫入H(R)。當決定不標記時，路由器會檢查接收包中的距離域，當發現是0時，它知道上一跳進行了標記，會將自己的地址散列值與報頭中地址域中的值作一次異或運算，將結果存入地址域，同時將距離域加1；不標記時的其余情況下，路由器僅僅是將距離域加1而不作其他處理。

路徑重構算法與文獻[3]中所述相同，此處不再贅述。

無論是基于包采樣還是包標記的攻擊源追蹤策略，均可以追蹤到攻擊源所在的網絡，但是由于需要路徑上全程或大部分路由器的參與，在實施時有較大的難度。在移動IPv6中，一些常見的攻擊是能夠通過較為容易的方法得到攻擊源，或者由于移動的特點，攻擊有其特殊性而不能直接應用固定環境中的追蹤工具。以下就對高度移動環境中的常見攻擊模式的攻擊源追蹤加以討論。

2．2移動節點對固定節點

移動節點對于固定節點的攻擊主要是指攻擊源本身是移動節點，而被攻擊者是非移動的對端節點。追蹤包含兩方面內容：a)要得到攻擊源的HoA（家鄉地址）以確定身份；b)要得到CoA（轉交地址）以確定攻擊發生的位置。

如果攻擊者使用真實的HoA和偽造的CoA實施攻擊，如攻擊者為了得到被攻擊者的某些資料而必須與之通信，就必須使用真實的HoA以確保獲得返回的數據。此時被攻擊者可以通過HoA確定攻擊者的家鄉代理，然后查詢家鄉代理中的地址綁定緩沖條目來得到攻擊者真實的CoA，從而同時確定了攻擊源的身份和位置。

如果攻擊者偽造了HoA，而使用真實的CoA，如攻擊者為了避免入口過濾而使用真實的CoA，同時使用偽造的家鄉地址目的地選項將返回數據重定向到第三方（目的地節點會以目的地選項擴展報頭中攜帶的家鄉地址作為發送者的地址），從而導致對第三方的反射攻擊。此時被攻擊者實際上是第三方，對端節點成為反射方。要追蹤到攻擊源，第三方首先必須通過CoA找到攻擊源所處的外地網絡，在該網絡出口路由器的日志中查找攻擊源發往其家鄉代理的帶有注冊更新消息的包的記錄，從而得到攻擊者的家鄉代理地址；進一步查詢家鄉代理的地址綁定緩沖條目就可得到攻擊者的CoA在攻擊時對應的HoA（查詢時間不能太晚，否則家鄉代理會刪除舊的記錄），從而確定攻擊者的身份。

最復雜的一種情況是攻擊者同時偽造了CoA和HoA，如攻擊者僅僅是簡單地發起對對端節點的電子郵件洪泛攻擊。此時，從收到的攻擊包中無法直接得到追蹤所需的信息，因此只能從攻擊經過的路由器中獲得有用的內容，如采用包采樣法或包標記法。

2．3固定節點對移動節點

移動節點作為被攻擊者時，它可能受到兩種類型的攻擊。a)由偽造的綁定更新引起的，它指示了錯誤的CoA，通常會導致DoS攻擊；b)直接針對它的攻擊，如洪泛攻擊（flooding attack）。

對于前者，對攻擊源的追蹤應該由找出綁定消息的發送者開始。由于綁定更新的重要性，RFC 3775已經制定了一系列規則來降低上述威脅，如使用IPSec和返回路由可達過程等。這些措施使得大多數攻擊只能發生特定路徑上。在存在密碼保護的情況下，由于攻擊者很難得到移動節點的密鑰信息，它只能通過中間人攻擊來截獲正常的發送到家鄉代理或對端節點的綁定更新（binding updates）；然后修改其中的地址后重新發送。若發現通過密鑰檢驗的偽造綁定更新，首先應該考慮到攻擊者曾進入了家鄉代理或對端節點與受害者之間的路徑中，從而縮小查找范圍。

后者的發生會對包采樣法產生一定影響。此時攻擊包可能被發送到移動節點的CoA或HoA。

1）包被發送到移動節點的CoA當發送方（攻擊者）由接收方（被攻擊者）的HoACoA綁定時，攻擊包會被發送到移動節點的CoA，并帶有第二類路由擴展報頭，如圖3所示。

圖中字段含義：NH為下一報頭（next header）；HEL為擴展報頭長度（header extend length）；RT為路由類型（routing type）；SL為剩余段（segments left）。

此時IPv6報文的目的地地址是移動節點的CoA。第二類路由擴展報頭中攜帶了移動節點的HoA，一旦數據包到達終點，移動節點從第二類路由報頭中找回其HoA，用做該數據包的最終目的地址（可能提供給上層應用）。接收者對于第二類路由報頭的處理包括：a)交換基本報頭中的目的地字段與路由擴展報頭中的家鄉地址字段；b)遞減段剩余字段中的值。因此，如果采用包取樣法追蹤攻擊源，在接收者計算包的取樣值之前，應該首先將上述兩個地址再作一次交換并增加段剩余字段，這樣才能與中間路由器計算摘要時使用的包內容一致。

2）包被發送到移動節點的HoA當發送方不知道移動節點的當前CoA時或不支持路由優化（不支持地址綁定）時，數據包將被發送到移動節點的HoA，此時移動節點的家鄉代理會截獲此類包，并通過隧道轉發給移動節點。

隧道包外部頭（outer header）的源地址和目的地址分別是家鄉代理的地址和移動節點的CoA；內部頭（inner hea￣der）分別為對端節點地址和移動節點的HoA。此時，由于隧道改變了原來攻擊包的內容，被攻擊者無法直接應用包采樣法，它必須采用一定機制來通知家鄉代理發起追蹤，一種可能的解決方案是：移動節點使用ICMPv6通知家鄉代理產生了攻擊，并在ICMPv6的消息體中包含了攻擊包的部分內容；家鄉代理根據收到的攻擊包內容完成追蹤，在追蹤完成后使用ICMPv6應答提供給移動節點攻擊者的地址。

2．4移動節點對移動節點

攻擊者和被攻擊者均是移動節點時的攻擊源追蹤應該把上兩節的內容結合起來加以考慮，即在發送者是移動節點時，要考慮目的地選項對源地址的影響；在接收者是移動節點時，要考慮第二類路由報頭和隧道機制造成的報文內容改變。此處限于篇幅，不再展開討論。

3結束語

移動IPv6環境中的攻擊源追蹤問題與在IPv4中有諸多不同。首先是IPv6的報頭格式與IPv4有很大差別；其次是移動機制本身引進了一些新的規則；最后攻擊的方法也有所不同，因此原先基于IPv4的攻擊源追蹤技術已不再適用，并且追蹤的難度加大。本文就移動IPv6中的四種不同攻擊模式提出了有針對性的攻擊源追蹤策略，研究了基于IPv6的包取樣法和包標記法，以及攻擊源頭和目標分別為移動節點時的追蹤策略。上述方法的有機結合可以有效降低移動IPv6下攻擊源追蹤的難度。

參考文獻：

[1]SNOEREN A C，PARTRIDGE C， SANCHEZ L A，et al. Hashbased IP traceback [C]//Proc ofACM SIGCOMM Conference. San Diego:[s.n.]， 2001:314.

[2]SAVAGE S ， WETHERALL D. Practical network support for IP traceback[C]//Proc of ACM SIGCOMM Conference. Stockholm:[s.n.]，2000:295－300.

[3]SONG D， PERRIG A. Advanced and authenticated marking schemes for IP traceback[C]//Proc of IEEE INFOCOM Conference. Anchorage， Alaska:[s.n.]， 2001: 878－886.

[4]徐永紅，楊云，劉鳳玉，等.基于權重包標記策略的IP追蹤技術研究[J]. 計算機學報， 2003，26(11): 15981603. [5]JOHNSON D， PERKINS C， ARKKO J. Mobility support in IPv6， Request for Comments 3775[R].[S.l.]: Internet Engineering Task Force，2004.

[6]FANLi， CAO Pei， ALMEIDA J，et al. Summary cache: a scalable widearea Web cache sharing protocol[J]. IEEE/ACM Trans on Networking， 2000，8(3):281－293.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”