互聯網中IP源地址偽造及防護技術

隨著互聯網使用環境的變化，互聯網技術的存在的問題日益體現出來，其中一個重要的問題就是不保證源地址的真實性。據統計，一星期內利用偽造IP源地址發動的DoS攻擊可達有4 000余次。因而，在報文中保證源地址的真實性成為目前互聯網技術亟待解決的問題。

一、偽造IP源地址的含義

為了能夠在互聯網中正常的通信，發送報文時發送者須在所發送的報文源地址字段寫入發送者真實的IP地址，這樣報文的接收者在回復時才能夠知道將回復發給哪個地址。由于某些特殊目的，報文的發送者在發送報文時所填寫的地址為虛假地址，這類行為我們稱之為偽造IP源地址。目前互聯網還不能完全對偽造IP源地址的報文做到有效的攔截和過濾，而且路由器在對報文進行轉發時只看目的地址，對于源地址的真實與否不加考慮。因此，偽造IP源地址的報文是可以到達目的地的，這就為利用偽造IP源地址發動網絡攻擊提供了條件。由于難以查出偽造IP源地址的真正源頭，因而在網絡攻擊發生后追查真正的攻擊者就變得困難重重。

二、偽造IP源地址攻擊的方式

1.偽造隨機的IP源地址，受害者是報文的接收方。通過大量發出隨機偽造的IP源地址報文，占用接收方的預留資源，使接收方無法為其他用戶服務，這種方式稱為DoS攻擊。單一的DoS攻擊往往是采用一對一方式的，當被攻擊目標CPU速度低、內存小或者網絡帶寬小等各項性能指標不高時，它的效果是明顯的。隨著計算機與網絡技術的發展，計算機的處理能力迅速增長，內存大大增加，單純的偽造IP源地址的DoS攻擊無法直接充分占用受害者的帶寬資源或者處理能力，因為單一或者少數設備并不能產生足夠使受害者的鏈路飽和或者超出目標設備處理能力的偽造IP源地址流量，而只能占用一些特定的資源。

2.偽造特定的IP源地址，受害者是偽造報文的接收者。由于在互聯網中一些機制將報文的IP源地址作為認證的惟一手段，攻擊者正是利用這一點偽造具有特定IP源地址的報文，使受害者接收某些虛假信息，在沒有安全保護策略的情況下，這些報文都有可能被接收端相信，而做出攻擊者希望的響應。這類攻擊是對于網銀、網游、網上交易等最有威脅并且最具破壞性的一種攻擊方式。

3.偽造特定的IP源地址，受害者是被偽造者。很多DOS攻擊源一起攻擊某臺服務器就組成了DDOS（分布式拒絕服務）攻擊。DrDoS（分布式反射拒絕服務）是一種特別的DDoS攻擊，該方式靠的是發送大量帶有被害者IP源地址的數據包給攻擊主機，然后攻擊主機對IP源地址做出大量回復，這樣大量的回復被“返回”給受害者，飽和其鏈路或者使其過載，達到和DDoS攻擊相同的效果。

三、防御源地址偽造技術

3.1 過濾路徑方案

過濾路徑就是對偽造源地址的報文在傳播路徑上進行過濾和檢查，也就是說讓偽造源地址的報文無法到達目的地。雖然路徑的中間節點可以檢查報文的真實性，但是接收端也可以進行報文的過濾。路徑過濾方案與端對端方案的區別在于中間節點是否具有檢查能力。因為可以對報文在傳播路徑上進行過濾，所以偽造報文在到達受害者之前就已經被清除，保護了受害者免受這類偽造報文的攻擊或者減少了偽造報文對受害者的傷害，起到很好的保護作用，特別對Dos攻擊具有很強的防御作用。

3.2 端到端方案

端對端方案能夠使報文的接收端獲取報文時判別其源地址的真實性，也就是在報文發送端添加簽名，報文的接收端可以根據該簽名來判別報文是否真實，報文在中間網絡上則無法被判別是否真實。報文的接收端可以是一個自治域，也可以是一臺主機，也就是說報文的接收端是各種粒度的。端對端方案不僅可以用于制止帶有偽造源地址的DDos攻擊，還可以用于確保源地址的真實性。

3.3 traceback類方案

（1）報文標記。由于報文的接收者可以根據標記來查看和判斷報文經過的路徑，所以，可以在報文中加入路由器的標記。這種路徑的確定法很輕量，實現過程中也不會太過加重路由器的負擔。它的缺點在于，隨著經過的路由器的增多加入的標記也會增多，相應的報文的長度也會更長，或者會清除掉之前的標記。由此可見traceback類方案是不適用于大型網絡的。

（2）路由器記錄。每個路由器保存一張位圖，路由器通過Hash函數將轉發的報文轉換成一個數字，這個數字對應的相應位是被標記的位，管理者向所有路由器發出請求來獲取標記了的路由器的信息來追查某個報文的源頭，這樣就可以找到報文被轉發的路線。Hash碰撞是這種方式實現的最大困難，也就是不同的報文可能會在相同的Hash位上，這樣就無法繼續追查了。

（3）收集器處理。采用收集器處理來自路由器的報文及消息，并在此基礎上判斷報文的路徑。由于路由器不用進行標記和記錄，只需轉發特定報文即可，因此可有效減輕路由器的負擔。可是，這種方式也容易使收集器成為網絡的桎梏。

四、結語

當前，偽造IP源地址發動網絡攻擊在互聯網山日益猖狂，屢禁不止。為了減輕此類攻擊的危害，必須過濾偽造IP源地址的報文，提高防護技術水平，保證報文IP源地址的真實性。