一種基于MIPv6的移動目標防御反審查方法

張 舒 婷

(太原學院計算機工程系 山西 太原 030032)

0 引 言

近十年來，互聯網的廣泛使用給人們生活方式帶來重大改變。通過計算機或移動終端可以很容易地獲得信息的能力促進科學技術和文化傳播的快速發展。雖然有些人認為這是互聯網的弊端，它使全世界的團體機構比以往任何時候都更加緊密。但是，對大多數人而言，自由獲取信息是他們生活不可或缺的一部分，甚至能夠幫助他們在科學、技術、數字文化等各個領域發揮潛力。

但是某些別有目的的攻擊者總是試圖阻止人們訪問某些類型的信息。當前有多種方法可以阻止查看網絡信息，常見的技術包括[1]：(1) IP地址阻塞：對由IP地址標識的某些站點進行阻塞訪問；(2) 域名系統(DNS)過濾：阻止訪問某些未被解析的域名；(3) 統一資源定位符(URL)過濾；(4) 數據包過濾。

大多數用戶利用加密隧道和代理來繞過這些審查方法，如VPN[2-4]和Tor[5]。作為響應，攻擊者通常試圖查找和阻塞提供服務的主機。

本文提出了一種結合移動IPv6(MIPv6)和移動目標防御(MTD)技術特點的解決方案。基于MTD思想，通過檢測洪泛攻擊來防止分布式拒絕服務(DDoS)攻擊，使服務器變成移動目標[6-8]。該方法也可用來保護用戶隱私[9]。它與現有的反審查措施不同，用戶不必直接對抗審查措施。并且該方法與現有的反審查方法可以共存。

在MIPv6中，通常使用永久IP地址(歸屬地址)來避免TCP會話的中斷，使用一個或多個轉交地址CoA(Care-of Address)來連接其他節點[10]。應用MIPv6將Web服務器視為移動節點，利用動態改變的IP地址(基于CoA)避免過濾和阻塞等攻擊行為。將端用戶隨機分組，并提供一個可以用來訪問網站的CoA。一段時間之后，對用戶重新分組，并用新生成的一組CoA更新用戶。本文所提方案的基本架構如圖1所示，在服務器端，n個不同的CoA被隨機分配給不同的用戶組。一段時間后，用戶重新分組，并將通過新生成的CoA與服務器連接。MIPv6的有效性取決于所使用CoA的數量和偽裝成正常用戶的攻擊者數量，攻擊者通過查找CoA來實施阻塞，通過改變CoA將用戶變為移動目標。本文提出一種新的地址變化方法，大大增加了攻擊者查找地址的代價。該方法利用了現有的MIPv6技術，因此不需改變現有的MIPv6協議。

圖1 基于MIPv6的基本架構

1 相關研究

1.1 反審查技術

用戶利用代理和加密隧道技術繞過審查，如VPN[2-4]和開源的HTTPS代理。然而攻擊者可以通過阻塞提供服務的系統IP地址來阻止這些方法。

近年來，一種叫作“路由誘騙”的技術被提出[11]。傳統方法中的代理部署在網絡路徑的末端，而該方法把代理部署在網絡的中間[12-14]。其中的互聯網服務提供方ISP(Internet service providers)過濾被標記信息(發送至虛假地址)，然后將其重新發送至真實目的地址(被審查地址)。過濾過程需要耗費計算資源和額外的硬件資源，并且為用戶帶來延遲。當前的路由誘騙技術依然無法有效防御流量分析和網站指紋識別方法。

1.2 移動目標防御技術

文獻[7]提出一種基于云平臺的防御網絡DDoS攻擊機制。它首先對服務器進行選擇復制，對客戶端進行重新分配，使被攻擊的服務器變成移動目標。被攻擊的服務器被部署在其他網絡中的復制品代替，客戶端也被移植到該新的服務器上。客戶端遷移之后回收被攻擊的服務器進行循環利用。只有遷移到服務器的客戶端才知道其新地址，新加入的客戶端通過DNS服務將其引導至服務器受保護的云平臺。

該方法運用至反審查策略中的限制條件如下：(1) 審查者能發起IP阻塞和DNS過濾來阻止用戶訪問服務器；(2) 普通客戶端群組中檢測審查者比較困難，與該審查者在同一分組的用戶將被永遠阻塞；(3) DDoS需要向目標服務器發起大流量攻擊，一旦檢測到服務器的正確地址，單個審查者就能完成攻擊，這將導致服務器的頻繁變換；(4) 服務器重定向過程會導致丟包；(5) 復制大量的服務器資源需要建設相應的大規模云平臺。

文獻[9]提出一種MT6D方法，它是一種動態的、網絡層的MTD，在不中斷和不重新發起會話的前提下，快速改變處于會話中的發送方和接收方的IPv6地址。MT6D利用了IPv6的優勢，創建動態的接口識別IID(Interface Identifier)來生成動態的IP地址。這些IID由以下幾部分組成：(1) 每個主機需要一個獨特值作為種子IID；(2) 收發雙方共享密鑰；(3) 參數改變需要收發雙方的同意。

MT6D通過帶外分享種子IID和共享密鑰，對每個數據包按照UDP協議封裝并利用虛擬IP地址隱藏真實的IP地址。然而該方法僅支持點對點網絡，普通的客戶端-服務器網絡沒有考慮在內[15]。MT6D的限制條件如下：(1) 由于地址沖突造成數據包丟失；(2) 時間必須嚴格同步；(3) 一個虛擬IP對應一個用戶這種方式可擴展性不夠；一個虛擬IP對應一個用戶組，這種方式如果組里有一個審查者，該用戶組可以被永久阻塞。

2 背景介紹

2.1 移動IPv6的使用

MIPv6最重要的特點[16]是：一個IP地址可變的移動節點MN(Mobile Node)在網絡中移動時依然能夠接收到消息。假設服務器是一個移動節點，在MIPv6中，MN有一個永久的IP地址，稱為歸屬地址HoA(Home Address)，由歸屬代理HA(Home Agent)分配。歸屬代理是MN歸屬鏈路上的路由器，其功能類似于MN的代理。MN也有一個備用地址，稱為轉交地址CoA(Care-of Address)，由通信對端節點CN(Correspondent Nodes)使用與MN保持通信。HA保持與CoA的聯系，并執行必要的轉發。MN通過包含新CoA的綁定更新BU(Binding Update)消息更新HA，HA發回綁定確認BA(Binding Acknowledgement)消息作為響應。CN通過HoA(由HA生產并由隧道傳送到MN)與MN建立通信。

2.2 路由優化

路由優化過程實現了MN和CN之間的數據包傳輸路徑最短。CN需要知道MN當前綁定信息。因此，MN必須通過CoA更新CN。路由返回過程用于驗證所請求的CoA[17]和HoA的使用權限。此過程涉及四個消息，路由優化還使用兩種額外消息(BU和BA)。當只需要CoA測試消息時這些開銷便會減少[18]。

文獻[19]中指出與路由返回測試相關的所有消息都通過使用共享對稱密鑰來消除。首先，路由優化的低信令開銷將切換延遲最小化，這反過來又減少了在地址變化期間的丟包。其次，在不需要路由返回的情況下，HA可不參與路由優化。MN可以直接用新的CoA更新CN，從而與HA斷開連接。盡管如此，靜態共享密鑰方法也有一些局限性：(1) CN需要信任MN的行為，并且需要假設MN不會對第三方發起洪泛攻擊[20]。(2) MN和每個CN之間的共享對稱密鑰可能導致重放攻擊。使用IPSec與MN和CN之間的互聯網密鑰交換IKE(Internet Key Exchange)可解決這一問題。

在運行路由優化機制之后，數據包將通過CN直接路由到MN的CoA。為了將數據發送到任何一個IPv6的目的地址，使用第二類路由和目的地址選項頭將數據包傳送至MN[21]。

第二類路由頭是一種支持MIPv6的路由報頭類型。當數據包被發送到MN的CoA時，HA或CN使用該路由頭攜帶MN的HoA。例如，如果CN知道MN的CoA，則CN可以向CoA發送數據，但是MN需要從目的地址中獲取其HoA信息。因此，CN在第二類路由頭中存儲MN的HoA，然后以MN的CoA作為目的地址發送數據。當MN接收到數據時，它自動將數據的目的地址替換為存儲在第二類路由報頭中的地址。

目的地選項頭用于承載僅需要由目的節點處理的可選信息，其中很重要一點就是歸屬地址。當MN不在歸屬地時，它發送的數據中就含有該選項信息(將其HoA發送給CN)。此時，數據包的源地址是MN的CoA，而歸屬地址選項中的地址是MN的HoA。當地址的有效性被驗證之后，這兩個地址將被交換。MN的CoA和HoA必須在注冊時相互綁定。

2.3 多轉交地址

移動目標防御用于反審查的關鍵技術之一是多IP地址能力，使得審查者不能在有限的時間內檢測到地址并實行阻塞。隨著MIPv6和綁定識別BID(Binding Identification)號碼的擴展，MN可以實現多個CoA綁定同一個HoA。MN可以設置多個IPv6全局地址并將其注冊為它的CoA。為了注冊多個綁定，MN為每個CoA生成一個獨特的BID。這些BID被存儲在綁定更新列表中，且每條綁定信息都是相互獨立的。MN可以通過BID移動性選項使用BU消息注冊其CoA。

另一方面，可以在CN上禁用多轉交地址。這樣CN就無法識別接收到的BU消息中BID移動性選項。根據RFC 5648[22]協議，CN可以跳過未知的移動性選項，僅簡單地更新綁定緩存，并將數據包發送到MN最新更新的CoA。

3 基于MIPv6的MTD反審查方法

本節描述了基于MIPv6的移動目標防御MI-MTD(MIPv6-based Moving Target Defense)方法，并通過建模來協助分析影響方案有效性的各種因素。最后，通過實驗結果證明所提方案的可行性。

該方法的核心技術就是使用多個IPv6的CoA。與實際的移動應用不同，主機(如：Web服務器)被視為移動節點，HoA作為服務器的永久地址，CoA作為動態地址。被分配CoA的用戶組稱為訪問組。每隔一段時間生成偽隨機IP地址，替換服務器的所有CoA。在每個間隔內，通過地址變化和重新分配用戶，隨機改變每個訪問組成員身份。通過綁定更新機制用新的CoA更新用戶。

本文所提出的方案只需要在服務器中設置MIPv6參數，為HoA選擇一個與服務器子網前綴不一樣的IP地址。當MIPv6運行時，服務器從其路由器接收路由宣告消息，該路由器歸屬鏈路的前綴與HoA的前綴不同。這樣，服務器就認為它在外地網絡中，并在本網絡中注冊一個CoA。隨機生成64位地址，與歸屬鏈路前綴結合來生成新的CoA。這些新的CoA在子網中注冊之前通過鄰居請求消息來檢測是否已經被占用。根據MIPv6的多個CoA注冊規則，服務器(MN)將會向其用戶發送含有新CoA的BU消息。當用戶接收到BU時，服務器的HoA和CoA被插入到綁定緩存中，并刪除以前的CoA。

為了部署MIPv6，服務器端需要一些改變：(1)允許對不同訪問組進行用戶分配；(2)通過分配的CoA更新每個訪問組。用戶端不需要任何改變，MIPv6協議標準也不需改變。

該方法的兩個關鍵之處在于多個CoA的分配和變化。將不同的CoA分配給每個訪問組限制了一個組內有一個審查員(假裝成正常用戶的攻擊者)的影響。一旦審查者發現一個CoA，它將阻塞該地址來切斷對可能通過CoA產生的服務器訪問。所有與此審查者在同一訪問組中的用戶都將失去與服務器的連接。為了解決這個問題，每隔一段時間使用戶地址在不同訪問組之間隨機變化。為了消除地址變化期間的丟包，在刪除以前的CoA之前，服務器要為新的CoA發送BU消息。因此，在切換延遲期間，用戶發送的數據報頭中含有舊的CoA。每個訪問組中的所有用戶接收到各自的BA或在一段時間之后，服務器刪除舊的CoA。地址變化間隔可以動態變化，為方便分析，本文使用了固定變化間隔。

3.1 模型與分析

本文通過分析攻擊者偽裝成正常用戶所付出的代價來衡量MI-MTD方案的有效性。審查者在每個變化間隔之后都會接收到含有最新CoA的BU消息，該CoA將被阻塞或攻擊。在每個間隔期間，包含至少一個審查者的訪問組中的所有端用戶將被禁止訪問服務器。首先計算在任意時刻，用戶被阻塞的概率與CoA和審查者的數量的關系。

建立變化過程的數學模型來協助分析。該模型中使用的符號如表1所示。

表1 模型使用符號對應表

用戶總數N是審查者(Na)和正常用戶(Nu)的和。在每個變化間隔中，正常用戶可分為兩類：被審查者和未被審查者。訪問概率p是用戶在任意時刻訪問服務器的概率。為了計算p，首先需要計算未被審查者數量(Nuf)的期望值：

(1)

假設訪問組大小與式(1)相同，則用戶在可用CoA上均勻分布，即N可以被I整除。

(2)

因此，對于任意CoA，IPj未被阻塞的概率為：

(3)

(4)

基于上述假設，Aj=Ai,?i,j∈(i,j)，N=I×Aj，由此可得：

(5)

(6)

因此，用戶在給定時刻訪問服務器的概率p為：

(7)

例如，假設有1 000 000個用戶和5 000個審查者，在每個變化間隔中使用10 000個CoA，對于任意用戶，在一個變化間隔期間訪問服務器的概率大約為60.88%。

基于上述結果來考慮實際(如網站訪問模式)中的其他重要因素。比如：用戶訪問網站上的特定信息通常不與Web服務器以連續的方式進行交互。也就是說用戶并不是一直點擊和加載網頁。典型的訪問模式是用戶先與服務器短暫交互，然后瀏覽自己機器上已經呈現的信息(持續時間較長)。基于本文提出的變化機制所求得的訪問概率是相互獨立的，由此可較容易計算出在一段時間δ內的阻塞概率bk，其中k表示變化間隔的數量，則k個獨立時間間隔內，受審查的用戶被阻塞的概率為：

(8)

以1分鐘為例計算該期間的阻塞概率，設定變化間隔t為10 s，則b6=(1-0.608 8)6≈0.358%。即用戶每分鐘大概有99.6%的幾率可以成功訪問服務器。

通過計算分群比的最大值可以得出系統可用的最低概率p，這與具體的應用場景有關。例如，在極限條件下，每幾小時可以訪問服務器一次已經足夠滿足用戶需求。相比之下，典型的通過網頁瀏覽新聞可能每隔幾分鐘左右就需要訪問服務器一次。因此，衡量有效性與攻擊者的攻擊方式(完全阻塞或僅制造一點不便)有關。為方便說明，本文以一分鐘制造5%的阻塞為例，如果用戶在一分鐘內訪問網站的概率達不到95%，則認為系統被破壞，而實際上這僅給用戶造成些許不便。用戶在審查者干預下將要承受更高的阻塞率。

在本例中，當φ=0.933 9時達到最大值，因此可以討論IPv6地址空間和網站硬件資源限制問題。Web服務器在一個子網中能夠利用的IP地址數量為264，服務器在一個變化間隔內可以利用的CoA數量取決于兩點：(1) 如果264個地址全部使用，服務器在一個間隔內全部用完，訪問組將無法收到新的CoA。當然，對于服務器系統來說同時使用264個地址就目前的技術水平來說不太現實。如果每個間隔使用1 000 000個CoA，5.849×107年之后才會用光這些地址。(2) 每個間隔用于創建和綁定CoA的IP地址受服務器和路由的硬件條件限制。由文獻[15]可知，取I值為10 000(不會帶來較大延遲)，為了使分群比φ=0.933 9，Na=0.933 9×10 000=9 339，即攻擊者必須每分鐘利用9 339個審查者才能導致大于5%的阻塞率。以此類推，如果攻擊者想要達到持續10小時(足夠阻止用戶下載一條新聞信息)造成99%以上的阻塞率，分群比φ=0.12，需要部署12 800個審查者。以5分鐘注冊為例，攻擊者需要1 067人才能在第10個小時完全阻塞注冊過程，這意味著10小時之內用戶依然可以訪問網站。為了實現完全阻塞10小時，攻擊者需要在一開始就部署128 000個審查者。當服務器重置用戶時需要重復執行這些過程。圖2展示了三種不同時間內，攻擊者為了達到不同等級的阻塞所需的分群比。可以看出，阻塞時間越長，阻塞率越高，所需的分群比越高，即需要在網絡中部署的審查者越多。

圖2 不同阻塞概率所需的分群比大小

3.2 用戶注冊過程

實際上，攻擊者不需要Na臺電腦來模擬Na個審查者。攻擊者可以創建一個綁定多個IP地址的系統。由文獻[15]可知，55 000個IPv6地址可以同時綁定在同一臺機器(Intel i7處理器，3.4 GHz，16 GB RAM，千兆以太網接口)上，即攻擊者可以部署55 000個審查者。為了防御審查者，需要人為干預，對用戶來說，只需要在初始注冊的時候操作一下即可。一些其他方法，比如復雜的驗證碼檢驗，需要用戶花費大量時間來處理。

注冊狀態應該每隔一段時間(如12小時)重置一次，迫使攻擊者的每一個審查者都要重復注冊過程。另一個重要因素就是每一個審查者的使用時間。如果審查者在每一次注冊開始時立即部署，則它在整個變化期間都會有影響。如果審查者在第11個小時部署，那他僅在下1個小時內有效，之后便重新注冊。如上所述，12小時的注冊周期，10小時內造成完全阻塞，1分鐘的解決時間，攻擊者需要在注冊重置前2個小時內準備128 000個審查者。這樣在接下來的10個小時內，沒有用戶能夠訪問服務器。在這種情況下，攻擊者需要1 067人操作2個小時。在服務器端，可以相對容易地額外增加計算機附件、網絡接口和路由器。為了攻擊配有10個服務器(配有10個接口)的站點，攻擊者需要106 700個并行工作的人。此外，在第1個小時內，仍有大量用戶能夠訪問服務器。

由于本方案中不存在HA，新用戶將無法使用服務器的HoA連接到服務器。相反，服務器在接收到用戶的請求時，由它發起連接。在用戶端，需要使用服務器的HoA和域名來設置主機文件。新用戶為了連接服務器，必須向服務器發送其IP地址和共享密鑰。一個簡單的方法是利用安全郵件來完成交換。

3.3 IPsec

當節點N1向另一個節點N2發送數據包時，需要在數據包報頭中添加源地址(作為HoA)和目的地址。然后，N1檢查綁定更新列表是否已經將BU發送到N2，從N2處搜索CoA。如果發現，N1將其CoA寫進歸屬地址選項中，檢查其綁定緩存以確定N2的BU是否已送達。如果發現，N1將生成包含N2的CoA的第二類路由報頭。含有源地址和目的地址的數據包將送達IPSec。加密后添加報頭，歸屬地址選項與源地址交換，第二類路由報頭與數據包目的地址交換。當N2收到數據包時，按照報頭在數據包中出現的順序進行處理。IPSec過程HoA總是在數據包報頭中的源地址和目的地址中[23]。IPSec沒有加密第二類路由報頭和歸屬地址選項。

為了防止審查，可以刪除數據包中目的地選項頭(和第二類路由報頭)來解決這個問題。在IP封裝安全有效載荷ESP(Encapsulated Security Payload)報頭中的安全參數索引SPI(Security Parameter Index)足以訪問HoA(數據包的真實源地址和目的地址)。刪除目的地選項頭和第二類路由報頭之前和之后的數據包格式如圖3所示。

(a) 去除目的地址選項頭和第二類路由報頭之前數據包格式

(b) 去除目的地址選項頭和第二類路由報頭之后數據包格式圖3 去除目的地選項頭和第二類路由報頭之前和之后的數據包格式

3.4 原型實現

為了證明本方案的有效性，并對該設計的性能進行評估，搭建一個基于IPv6的測試臺如圖4所示。使用三臺路由器(R1、R2、R3)和五臺Ubuntu 14.04系統(Linux內核版本3.8-2)的計算機(2.4 GHz雙核CPU，4 GB DDR2，800 MHz RAM)。基于Linux的開源MIPv6(UMIP)，路由器R1作為因特網的“中心”。審查者之間像路由器一樣轉發數據，單個訪問組的用戶(USER1、USER 2和USER 3)使用一個CoA，審查者不在該組中。

開啟服務器和用戶的可移動進程，服務器的HoA與R2的路由宣告不在同一個網段。服務器在R2上的注冊地址為CoA并將其更新到所有用戶。通過編程來實現每10秒生成一個新的CoA(實時刪除前一個)。根據MIPv6，服務器向用戶發送BU消息告知其新的CoA。BU消息的ACK比特使用戶發回BU的確認響應消息，以保證用戶成功接收BU消息并更新其綁定緩存條目。因此，每10秒便在服務器和每個用戶之間產生兩個開銷數據包，如圖5所示。圖中，實線表示服務器端，源地址為服務器CoA，目的地址為用戶地址，目的地址選項頭中的歸屬地址為服務器HoA；虛線表示用戶端，源地址為用戶地址，目的地址為服務器CoA，第二類路由頭中的歸屬地址為服務器HoA。通常，在此更新期間，用戶在接收到BU消息之前無法訪問服務器。在服務器端注冊多個CoA可以解決這一問題，也就是說直到用戶接收到下一個CoA之前，當前時間間隔內的CoA保持有效。一旦所有用戶更新到新的CoA才刪除當前CoA。

圖5 綁定更新過程

本文方法會產生兩種開銷，更新過程BU和BA消息產生的信令開銷和服務器和用戶之間傳輸數據產生的傳輸開銷。

信令開銷：一個完整的節點注冊過程需要與服務器傳輸兩類消息(BU和BA消息)，每條消息110字節(使用IPSec，移除目的地址選項和第二類路由報頭)。在最初的MIPv6中，BU和BA的長度是110字節，由于使用路由返回機制，會有四條額外信息。此外，為了最小化消息數量，減少開銷，該系統可以不使用BA運行，即如果數據從客戶端傳輸新的CoA，服務器知道客戶端接收到BU就不需要BA消息。

傳輸開銷：在應用IPSec條件下，每個數據包會產生24字節的開銷。即便不使用本方法，仍然需要使用IPSec來確保服務器和用戶之間建立安全連接，所以本文方法對每個數據包造成的實際開銷包為零。

4 結 語

本文基于移動IPv6和移動目標防御技術提出一種反審查機制架構。并通過理論分析證明，通過改變分群比率值，可以使攻擊者部署審查機制的代價大大增加。該方法不改變標準MIPv6和網絡協議，也不需要第三方中介介入。最后通過設計一種基于MIPv6的測試實驗平臺證實該方案的可行性。