淺析IP溯源技術的發展應用

摘 要：目前的網絡中拒絕服務攻擊是亟待解決的難題之一，而IP溯源是針對此類問題最佳的解決方式。該種技術能夠利用路由器為中間媒介，直接對攻擊者的真實位置進行追溯，摒除其偽造地址。文章針對目前所使用的IP溯源技術進行了分析，比較了幾種技術的優勢和缺陷，對IP溯源技術的發展予以了展望。

關鍵詞：網絡；拒絕服務；IP溯源

1 引言

在對目前網絡協議標準進行制定的過程中，設計者的設計重點在于網絡體系架構上，而一般設計者都會將端到端之間的透明性作為核心理念，將IP網絡同端實體之間相互分離，這樣在設計上將網絡結構予以簡化，但是隨之而來的問題也無法予以忽視。其中拒絕服務攻擊是目前網絡安全的威脅之一，而IP溯源技術能有效鎖定攻擊源的真實位置，推斷偽造地址發來的攻擊報文來自網絡中的真是路線，從而對攻擊者予以定位。溯源技術能夠在一定程度上震懾黑客，迫使攻擊者為了不至被追蹤到而放棄攻擊或者減少攻擊。文章主要對DOS攻擊的方式進行了論述，并針對具有代表性的集中IP溯源技術予以分析，對其優勢以及缺陷進行了比較。

2 DOS攻擊

2.1 DOS攻擊概述

網絡攻擊中DOS攻擊是最為常見的方式之一，這種攻擊方式主要通過發送數據包請求的方式使得網絡中待回復信息量急劇增加，從而耗費網絡資源或者帶寬，直接性導致網絡服務過載，降低服務質量的一種方式，由于數據包請求地址為虛假地址，因此具有惡意性，若數據包請求量過大，嚴重者可以導致系統癱瘓，影響系統的正常運行。而為了提高攻擊質量，多站點聯合的攻擊方式往往是攻擊者常常選用的方式，從而加大了受害者系統以及網絡的損害程度。

2.2 常見的DOS攻擊方式

2.2.1 TCP SYN attack

TCP協議中，如果通信雙方要建立連接，必須先完成三次握手過程。如果在握手過程中，客戶端向服務端發出一個請求SYN之后，對于服務端發出的SYN+ACK置之不理，則服務端永遠無法得到客戶端的ACK包來完成三次握手，于是服務端就會等到超時再把這個連接結束掉。攻擊者利用這個特性，在短時間內發送大量的SYN要求，造成服務端保持的連接數達到最大限度，無法再接收任何正常的連接請求，從而達到拒絕服務的目的。

2.2.2 UDP Flood attack

針對使用UDP協議的服務，由于通信雙方不用事先建立連接，因此攻擊者可以發送大量的UDP封包到服務端，并且將地址偽造成另一臺服務器，從而造成這兩臺服務器之間的網絡流量持續不斷的存在。

2.2.3 ICMP Flood attack

ICMP用來測試網絡的狀態，最常用的便是ping命令。攻擊者常在偽造源IP之后，將大量的ICMP封包大量的送至服務端，則服務器主機回應等量的ICMP封包到假造來源的IP網絡上，直接造成服務器與被偽造IP之間的網絡流量大量增加，沒有多余的帶寬可以讓正常使用者使用。

2.2.4 ICMP Smurf Flood attack

這種攻擊方式也是利用ICMP協議，只不過把目標指向廣播地址。如果攻擊者在源地址中填入某個網絡的廣播地址，那么被攻擊者送回的響應包將發往整個子網域，因而造成網絡擁塞。

2.3 DOS攻擊發展基礎

據不完全統計，拒絕服務攻擊事件正在呈現逐年上升的趨勢，對其根本原因進行分析：首先DOS攻擊在實施上較為簡便，網絡上類似的工具種類繁多，攻擊者只需要將這些工具下載下來就能夠實施攻擊，破壞受害者的系統；其次，相比較于特權提升攻擊，該種攻擊方式在攻擊程序上較為簡便，不需要進行交互處理，即無需同受害者進行溝通，因此在攻擊時能夠隱藏自身原始IP，或者偽造IP，使得受害者無法找尋數據包來自何方，無法采取有效的措施予以防范或者消除攻擊的不利影響。并且還無法找尋到確切的攻擊者，因而無法追求責任。這也是DOS攻擊難以防范的主要原因。所以對于DOS攻擊者的追蹤成為了當前網絡安全技術發展的主要方向，如果能夠有效追溯到攻擊者確切位置確定攻擊者身份，那么就能夠有效約束其攻擊行為，降低拒絕服務攻擊。

3 鏈接測試

溯源技術的基礎是受害者的路由器，這也是進行溯源的首要步驟，通過對多數的溯源技術都是從最接近受害者的路由器開始，對上行數據鏈進行逐一排查，直到尋找到攻擊源頭。若檢查效果理想，那么可以逐步對該過程進行遞歸，直到尋找到攻擊源頭位置。這種方式并非萬能，只有在攻擊過程中予以使用才能夠尋找到攻擊源，若是攻擊為間歇性攻擊或者攻擊已經結束，利用該中方式則很難進行追蹤。

3.1 入流量調試

該種功能是很多路由器自身都會帶有的，這種功能能夠為管理員提供數據包的過濾功能，并決定數據包的入口點。因此IP溯源技術便可以利用這一特點，首先受害者在遭到攻擊后，將所有攻擊包標志提取出來，通過攻擊標志在上行出口段進行入流量調試，以此確定攻擊數據包來源，并確定該入口點的上行路由器。繼而在上行路由器進行進一步的入流量調試，從而逐步的尋找到攻擊源。但是這種方式對網絡管理員的技術水平要求較高，同時在網絡的交流配合上也有著特定的要求，有時甚至需要聯系多個服務商，因此從技術和時間的角度講可行性不高。

3.2 可控洪泛法

該方法采用向連接發送大量報文（即洪水）來觀察對攻擊報文傳輸產生的影響。首先受攻擊者需要對網絡拓撲狀況予以掌握，通過上行路由或者該路由的主機發送洪水至每一個連接。緩沖區在路由器中屬于共享區域，因此若該區域負載較重，那么報文丟失概率便會相應提升，如此便可以通過洪水發送后的相應連接的攻擊減少狀況確定攻擊報文的來源。

4 日志記錄法

該方式主要是通過路由器中的相關日志對保溫進行記錄，繼而對報文傳輸挖掘追溯的一種方式，這種方式的優勢在于不受到攻擊時間的局限，可以再攻擊結束后對攻擊源進行追溯，不具有實時性，因此適用范圍較廣。但是缺陷也十分明顯，該方式需要大量的網絡資源，并且需要綜合的日志量巨大，因此路由器必須具備足夠的存儲空間以及相應的處理能力。

5 ICMP溯源法

該方式的在消息追蹤上主要依賴于路由器的ICMP。該方法中，路由器對報文的復制概率不高，所以負載不會明顯增加，該方式不會占用較多的網絡資源。但是，必須要注意的是，某些網絡會自動過濾ICMP報文，并且攻擊者也會考慮到該類因素而偽造溯源保溫，并且攻擊報文并非是獨立的，而是夾雜于正常報文之中的，所以復制概率就會進一步降低，這就降低了信息的完整性，受害機器也需要花較長的時間來收集報文，對于不完整的信息則無法準確地重構攻擊報文的傳輸路徑。

6 結束語

在未來一定時期內，網絡安全技術研究仍然會議IP溯源技術作為發展方向，我國的網絡溯源技術起步較晚，還具有相當廣闊的發展空間，而我國發改委以及信息產業部等相關部門也將網絡溯源技術的研究作為我國信息產業在未來15年中進行自主創新、研究的主要課題和重點。從容研究出更加有效的IP溯源技術對惡意DOS攻擊予以預防，從而有效維護網絡安全，保證信息環境的和諧穩定，這對我國的信息技術的發展具有著重要的意義。

參考文獻

[1]李德全，徐一丁，蘇璞睿，等.IP追蹤中的自適應包標記[J].電子學報，2004.

[2]張靜，龔儉.網絡入侵追蹤研究綜述[J].計算機科學，2003.

[3]嚴有日，基于DDOS攻擊機理的分析與防范[J].赤峰學院學報（自然科學版），2009.