当前位置: 首页 > >

网络攻击源追踪技术的分类和展望

发布时间:

 

摘 要: 网络攻击源追踪技术在实时阻断或隔离攻击、 追究 的意义。 该文对现有的多种网络攻击源追踪技术进行了系统

相关责任、 提供法律举证、 威慑攻击者等方面具有非常积极 分类, 归纳比较了各种方法的优缺点, 并探讨了网络攻击源 追踪的进一步研究方向, 包括建立量化的评估指标体系、 建 结合管理上的特点解决网络攻击源追踪等 IPV 6、数据加密、 问题。

立网络攻 击 源 追 踪 的 理论 模 型、 虑 诸 如 多 播、 动 性、 考 移

关键词: 计算机网络安全; 网络攻击源追踪; IP 源追踪; 跨 越跳板的追踪

Abstract: N etw o rk attack sou rce tracing p lays a key ro le in stopp ing attackers, and deterring attackers.

on 2go ing attack s, estab lish ing liab ility, enab ling p ro secu tion of p rom ising traceback app roaches and their techn ical characteristics. Each app roach is evaluated in term s of its advan tages and d isadvan tages. F inally, fu tu re develop s in netw o rk attack tracing techno log ies are discu ssed includ ing quan titative evaluation m etrics, theo ret ical m odels, m u lticast system s, m ob ility ab ilities, p ro toco l, data encryp tion, and adm in ist ration p rob lem s. Key words: netw o rk secu rity; netw o rk attack traceback; traceback acro ss stepp ing 2stone tracing; IP

中图分类号: T P 393. 08 文章编号: 100020054 ( 2005) 0420497204

ISSN 100020054 清华大学学报 ( 自然科学版) 2005 年 第 45 卷 第 4 期   CN 1122223 N . J T singhua U n iv ( Sci & T ech ) , 2005, V o l 45, N o. 4

网络攻击源追踪技术的分类和展望
闫 巧1 ,  吴建*2 ,  江 勇1

(1. 清华大学 深圳研究生院, 深圳 518055; 2. 清华大学 计算机科学与技术系, 北京 100084)

源地址和间接攻击[ 1 ]。 因特网中有许多主机提供代 理服务或存在安全漏洞, 这些主机会被攻击者作为 “跳板” 对目标发动攻击, 从受害主机只能看到 “跳 板” , 而无法获得攻击主机地址。 网络攻击源追 地址 踪技术指的是通过网络定位攻击源地址的技术, 它 涉及到的机器包括攻击者、 受害者、 跳板、 僵尸机器、 [2 ] 反射器等。 攻击模型为 :
攻击者
(attacker)

文献标识码: A

C la ss if ica tion of network a ttack source trac ing technolog ies
YAN Q ia o 1 , W U J ia np ing 2 , J I NG Yong 1 A

  其中跳板机器和僵尸机器都是攻击者事先已经 攻破的主机, 我们统称它们为变换器, 它们负责把攻 击数据包做某种变换以掩盖攻击者的行踪, 具体变 换如下:
p 1 ( 源: 攻击者, 目的: 变换器, 内容: C , 时间: t)

(1. Gradua te School a t Shenzhen, Tsinghua Un iversity, Shenzhen 518055, Ch ina; 2. D epartm en t of Com puter Sc ience and Technology, Tsinghua Un iversity, Be ij ing 100084, Ch ina)

  针对攻击者所采用的两种隐藏真实地址的方 法, 网络攻击源追踪问题也相应地分成两类[ 3 ] , 一类 称作 IP 源追踪技术 ( IP t raceback ) , 目的是识别发 送数据包的真实的 IP 地址, 该类技术主要是在一系 列路由和网关的帮助下在网络层执行。 另一类称作 跨越 “跳板” 的追踪技术 ( t racback acro ss stepp ing 2 “跳板” 隐藏身份的真正攻 stones) , 目的是识别通过 击源。

T h is p aper classifies som e

ip v6

1  IP 源追踪技术

IP 源追踪技术进一步也可分成两类, 一类称作

反应式追踪, 即检测到攻击后才开始引发追踪过程。

精确定位网络攻击源在实时阻断或隔离攻击、 追究相关责任、 提供法律举证、 威慑攻击者等方面具 有非常积极的意义。 但是精确定位攻击源并非易事, 因为攻击者对远程计算机或网络进行攻击时, 通常 采用两种手段来隐藏自己的真实地址: 伪造报文 IP

收稿日期: 2004204230

基金项目: 国家“九七三”基础研究基金项目 (2003CB 314805) ; 中国博士后科学基金项目 (20040350027) ; 广东省自然科学基金资助项目 (34308)

作者简介: 闫巧 (19722) , 女 ( 汉) , 广西, 博士后。

通讯联系人: 吴建*, 教授, E 2 ail: jianp ing@ cernet. edu. cn m

. . E 2 ail: yanq@m ail sz tsinghua. edu. cn m

Ζ

跳板
( stepp ing stone)

变换器

Ζ

僵尸
(zom b ie)

p 2 ( 源: 变换器, 目的: 受害者, 内容: C ′ 时间: t+ ?t) ,



反射器
( reflecto r)



被攻击者
(victim )

17 36 4972500

498

清 华 大 学 学 报 ( 自 然 科 学 版)

2005, 45 ( 4)

另一类称作主动式追踪, 即在数据包转发的同时就 进行实时监测, 当攻击发生时可根据实时监测的结 果 重 构 攻 击 路 径。 IP 源 追 踪 技 术 的 分 类 如 图 1 所示。

[7 ] ing ) 方法 , 该方法的优点是易于实现但该方法虚

警率较高, 计算量很大, 对 DDo s 攻击无效, 且鲁棒 性差。 改进和认证的 PPM 方法[ 8 ] 通过改进的标记方 案, 提高了精确度和鲁棒性, 降低了计算量。 代数方 法[ 9 ] 将 IP 源追踪技术问题转化为多项式重构问题, 利用代数编码理论来恢复假冒的 IP 数据包的真实 源点, 该方法与 PPM 方法的区别在于利用 Ho rner 规则迭代地算术编码边信息而不是用 HA SH 函数 作为效验器。 路由记录法是利用一种特殊的路由器对*期所 转发的 IP 包保存包摘要, 受害者可以根据所收到的 攻击数据包的摘要和路由器中保存的摘要重构攻击 路 径。 路 由 记 录 方 法 的 代 表 是 源 路 径 隔 离 引 擎 (SP IE ) [ 10, 11 ]。该方法的优点是能够对单个数据包 进行很准确的反向跟踪, 漏警率为零, 且有很好的互 操作性。 缺点是它需要 ISP 间的相互合作, 对高速路 由器存储要求高, 并会消耗路由器 CPU , 影响路由 器的流量转发性能。
[ 12 ] “ ICM P 消息法 引入了一种新的消息 iT race

图 1  IP 源追踪技术分类

反应式追踪只能在攻击流保持活动时进行追 踪, 当攻击结束后, 就无法确定 IP 源, 所以这类方法 常在需要实时阻断时使用而无法用于事后分析, 典 型的方法包括输入调试[ 4 ] 和控制洪流[ 5 ]。 输入调试 利用带输入调试 功能的路由器, 在攻击发生后逐跳 确定具有攻击特征的包来自哪个路由入口, 通过反 复使用, 从而可以确定发送攻击包的真实 IP。该方 法是 IP 源追踪时最容易想到的方法, 但该方法要求 追踪路径上所有路由器必须具有输入调试能力, 且 需要手工干预, 依赖互联网服务提供商即 ISP 的高 度合作, 追踪速度相对较慢。 控制洪流方法在攻击产 生时, 首先利用已有的 In ternet *送佳≡穸跃嗬 受害者最*的路由的每一条上游链路分别进行洪流 攻击, 通过观察来自攻击者的包的变化来确定攻击 数据包经过哪条链路, 然后同样方法对上游链路继 续洪泛。 该方法证明是有效的, 但它自身就是一种
DoS 攻击, 需要与上游主机的高度合作及 In ternet

消息”该消息包含发送该消息的路由器的 IP 地址 , 及诱发它的数据包的相关信息, 加载了跟踪机制的 路由器能够产生这种消息帮助受害主机识别假冒
IP 源的数据包。 但该方法会产生大量额外负载, 影

响网络性能并且容易被网络安全策略堵塞, 且来自 远端路由器的 ICM P 非常有限。 目的驱动的 iT race 方 法 ( in ten t ion 2d riven iT race ) [ 13 ] 在路由表和数据
( 包转发表中引入了一个 “目的位” in ten t ion b it ) 来 决定某个特殊的目标是否需要 iT race 跟踪消息, 该

方法能精简 iT race 消息提高系统的性能, 几乎不需

详细的*送肌 主动式追踪既可以用于对攻击的实时阻断又可 用于对攻击的事后分析。 其中包标记法修改 IP 协 议, 路由器在数据包通过路由时以一定概率将路由 信息标记到数据包的 IP 包头的 iden t ifica t ion 字段, 受害者在收到足够多的包后能够根据包头信息重构 攻击路径。 该类方法只使用 IP 包本身的信息, 不会 产生额外流量, 也不会被防火墙或安全策略堵塞, 并 且不需要来自 ISP 的相互合作, 但该方法无法用于 分段的 IP 包, 无法用于加密的 IP 通讯等。 且最*的 研究还表明由于包标记方法都把路由信息数据存储 到多个包中, 使得攻击者能够利用*似生日组的概 念即 GO SS I 散播错误信息 。 当前包标记法有很 B 多种, 最基本的是 PPM (p robab ilist ic p acket m a rk 2
[6 ]

要对路由选择结构做出改变, 其缺点是: 由于频繁 地更新路由表, 会导致路由选择机制的不稳定性, 并 有可能对 B GP 协议产生改变。

2 跨越跳板的追踪技术

IP 源追踪方法能够找到发送 IP 数据包的真实

源地址, 但并不一定能够找到对攻击事件负责的攻 击者, 因为绝大部分攻击者在实施攻击时常常利用 多个 “跳板”所以对这类攻击而言 IP 源追踪只是第 , 一步, 若想要找到真正的攻击源必须有跨越跳板的 追踪技术。 跨越跳板的追踪技术按照所追踪的信息 源不同, 可以分为基于主机的技术和基于网络的技 术; 按照所采用的追踪方法不同, 也可分为反应式 方法和主动式方法。 主动式方法监控并比较所有通 信量, 而反应式方法在怀疑有攻击后通过定制的进

闫 巧, 等:  网络攻击源追踪技术的分类和展望

499

程动态地控制何时何地关联哪些通信量, 以及如何 关联。 现有跨越跳板的追踪技术如表 1[ 4 ] 所示。
表 1 存在的跨越跳板的追踪方法的分类 主动式方法 基于主机   基于网络    
DI S D C IS

外的开销, 当检测到入侵时, 目标主机将注入水印到 入侵连接的后一个连接, 唤醒并与入侵路径中的中 间 路 由 合 作。 SW T 能 够 对 通 过 T ELN ET 或 RLO G I 的交互入侵高效准确地定位, 但只能用于 N 不加密的连接, 而且入侵者可以通过去掉注入的水 印来防止被追踪。

反应式方法
Ca ller I D   I IP D 休眠水印  

指纹 基于时间 基于偏差

3 网络攻击源追踪技术展望
由于当前的 TCP IP 协议对 IP 包的源地址没 有验证机制以及 In ternet 基础设施的无状态性, 使 得想要追踪 IP 包的真实起点已不容易, 而要查找那 些通过多个跳板或反射器等实施攻击的真实源地址 就更加困难。 虽然如上所述针对网络攻击源追踪问 题已提出了许多解决方法, 但目前研究结果与实现 之间仍有较大差距。 比如 IP 源追踪技术基本上只是 用于研究者自己的网络环境中, 至今尚没有一种方 法在 In ternet 上广泛使用, 而跨越跳板的追踪技术 由于技术上的复杂性, 目前只对通过 T ELN ET 或 “跳 RLO G I 的交互入侵能够追踪, 而对经过多个 N 板” “反射器” DDoS 攻击基本上不具备准确定 或 的 位能力。 因此对网络攻击源追踪技术需要深入研究。 本文作者认为进一步的研究方向主要包括以下。 1) 建立量化的评估指标体系, 系统地比较当前 各种方法的优劣, 进一步完善现有算法。 如前所述目前已有多种追踪方法, 但由于没有 一套量化的评估指标体系, 只能对这些方法进行定 性的比较[ 19, 20 ] , 我们目前正在建立一套各种追踪方 法的评估指标, 从而能够对各种方法进行定量的分 析和比较, 这些评估指标包括如下。 ① 追踪性能: 包括对于不同攻击类型的虚警
( 即将实际没有参加攻击的链路包含在重构的攻击

  早期一些入侵检测系统如 D I S、C IS 等具有 D 简单的攻击源追踪功能。 基于主机的追踪方法依赖 于连接链上的每个主机, 若一台主机被控制而提供 了错误的关联信息, 整个追踪系统都会被误导, 因此 在 In ternet 配置基于主机的追踪系统是很困难的。 基于网络的追踪一般是根据网络连接的属性来 进行, 不要求被监控主机全部参与。 “指纹” 技术[ 14 ] 是利用少量信息总结连接的最早的关联技术, 但是 它需要依赖时钟同步来匹配对应时间间隔的连接指 纹, 并且无法用于重传改变的情况, 这些都严重限制 了它在实时追踪中的有效性。基于时间的方案[ 15 ] 是 基于交互通信中的时间特点而不是基于连接内容, 它可以用于加密的连接。类似的基于偏差的方法[ 16 ] 使用两个 TCP 连接序列号的最小*均差别来确定 两个连接是否具有关联, 偏差既考虑了时间特征又 考虑了 TCP 序列号, 但与 TCP 负载无关。 基于时间 的方案和基于偏差的方法都不要求严格的时钟同 步, 对重传改变都具有鲁棒性, 但是这两种方法都只 适用于检测交互式的 “跳板”不能用于通过一系列 , “跳板” 后所产生的机器驱动的攻击, 另外若攻击者 主动地逃避追踪, 这两种方法的性能都会大大降低。 基于时间的方案无法区分由入侵者使用的 “跳板” 与 正常活动所产生的 “跳板” 之间的区别, 而基于偏差 的方法无法直接用于加密或压缩的连接。 主动式方法需要预先保存所有的通信数据, 而 基于网络的反应式方法能够定制地进行包处理, 从 而动态地控制哪些连接何时何地怎样被关联, 因此 需要比被动方法更少的资源。 目前存在的方法主要 是入侵识别和隔离协议 ( I IP ) [ 17 ] 和休眠水印追踪 D [ 18 ] ( SW T ) 。 I IP 是一种应用层协议, I IP 边界控 D D 制器通过交换入侵检测信息即攻击描述进行相互合 作, 共同定位和阻止入侵者, 它要求每个边界控制器 具有与被攻击主机上的 I S 相同的入侵检测能力。 D 休眠水印追踪利用了主动网和水印技术跨越 “跳板” 进行追踪, 当没有检测到入侵时, SW T 不会引入额

路径中) 和漏警 ( 即未将实际参加攻击的链路包含到 重构的攻击路径中) 。 ② 时效性: 包括自发现攻击到追踪到攻击源 的时延, 自发现攻击后可以追查攻击源的时限等。 ③ 健壮性: 指少量追踪设备失效对攻击路径 重构的影响。 ④ 安全性: 如攻击者入侵到少量追踪设备后 对追踪路径重构的影响, 并研究攻击者察觉到被追 踪后可能采用的规避方法对追踪算法的影响。 ⑤ 扩展性: 指追踪系统是否具有线性扩展性、 可升级性等。 ⑥ 运行费用: 包括设备更新要求, 处理器、 内 存等占用情况, 需要 ISP 合作的管理费用等。

500

清 华 大 学 学 报 ( 自 然 科 学 版)
[8]

2005, 45 ( 4)

2) 建立网络攻击源追踪的理论模型。

Song D X, Perrig A. A dvanced and au then ticated m ark ing schem e fo r IP traceback [A ]. P roceedings of 2001 IEEE I FO COM Conference [C ]. Califo rn ia: A CM , 2001. N

仅仅是凭经验逐跳追踪攻击源在单一管理域中 是可行的, 但用于复杂的 In ternet 上常常是耗时和 低效的。 因此需要建立包括攻击模型、 追踪模型、 追 踪环境模型等的一整套网络攻击源追踪的数学模 型, 以便更全面系统地解决攻击源追踪任务。 3) 考虑多播、 移动性、 IPV 6、数据加密等问题。 当前的网络源追踪方法基本都没有考虑到多 播、 移动性、 IPV 6 和数据加密等问题, 如何改进已 有方法使之适合新的问题, 或者根据新问题的特点 提出更简单可靠的新的追踪方法值得仔细研究[ 21 ]。 4 ) 结合管理上的特点解决网络攻击源追踪 问题。 当在技术上还没有产生出简单高效、 切实可用 的追踪算法时, 如何结*踩芾砣缤ü得现ぁ IP 与 M A C 地址绑定等方法消除源地址的匿名性 也值得研究。

[ 9 ] D ean D , F rank lin M , Stubb lefield A. A n algeb raic app roach to IP traceback [A ]. A CM , 2001. [ 10 ] Snoeren A C, Partridge C, Sanchez L A , et al H ash 2based . IP traceback [A ]. P roceed ing s of 2001 Conference on S IGCOMM ) [C ]. fo r Com pu ter Comm un ication (A CM 14. Califo rn ia: A CM , 2001. 3 the 2nd DA R PA Info rm ation Su rvivab ility Conference and [ 12 ] B ellovin S M. [ 13 ] M ank in A , M assey D , W u C, evaluation of P roceed ing s of in ten tion 2d riven IEEE 10th On Com pu ter Comm un ication s and N etw o rk s ( IC3N ’2001) [C ]. Sco t tsdale, A rizona U SA , 2001. H eberlein L T. Ho lding [ 14 ] Stan ifo rd 2 Chen S, 1995. [ 15 ] Zhang Y, D enver, CO , 2000. [ 16 ] Yoda K, E toh H. tracing: An fram ew o rk [A ]. Paris, IKM , 2001. [ 19 ] A ljifri H. 24 31. [ 20 ] A nd rey B , on R esearch in Com pu ter Secu rity (LN CS 1985) Tou lou se, F rance, 2000. [ 17 ] Schnackenberg D , D jahandari K, Sterne D. fo r in tru sion detection and respon se [A ]. DA R PA Info rm ation Su rvivab ility Conference & Expo sition (D ISCEX ’00) [C ]. H ilton H ead, SC, U SA : IEEE, 2000. active netw o rk 2based of IP in t ru sion Sleep y w aterm ark [ 18 ] W ang X, R eeves D , W u S F, et al . P roceed ings Conference on Info rm ation Secu rity ( IF IP Sec 01) [C ].
C om m un ica tions M ag az ine, 2003, 41 (7) : 142

P roceedings of 2001 N etw o rk and Califo rn ia:

D istribu ted System Secu rity Sym po sium [C ].

A pp lication s, T echno log ies, A rch itectu res, and P ro toco ls

[ 11 ] Sanchez L A , M illiken W C, Snoeren A C, et al H ardw are . suppo rt fo r a hash 2based IP traceback [A ]. P roceed ing s of ICM P T raceback M essages, In ternet D raft et al . O n design and [A ]. [ S ]. M arch 2001. ICM P traceback In ternational Conference on P roceed ing s of IEEE Pax son V. D etecting stepp ing stones [A ]. [C ]. F ind ing a connection chain fo r tracing [C ]. in truders [A ]. P roceedings of the 6th Eu rop ean Sym po sium P roceedings of 16th [J ]. IE E E S ecu rity & P rivacy M A Y J UN E , 2003, 1 (3) : N irw an A. t raceback [J ]. IP traceback: A new den ial2 2service deterren t? of
IE E E

4 结 论
本文对当前提出的多种网络攻击源追踪方法进 行了介绍和系统分类, 归纳比较了各种方法的优缺 点, 探讨了网络攻击源追踪的进一步研究方向, 希望 我们的研究能促进网络攻击源追踪技术的发展。 参考文献   ( References)
[1]

李小勇, 刘东喜, 谷大武, 等. 可控网络攻击源追踪技术研 究 [J ]. 计算机研究与发展, 2003, 40 (6) : 808 812.
L I X iaoyong, L I Dongx i, GU D aw u, et al R esearch on U . in tru sion traceback in con t ro lled netw o rk environm en t [J ].
J ou rna l of C om p u ter R esea rch and D evelopm en t,

2003,

40 (6) : 808 812. [ 2 ] L ee S C, Sh ields C. T racing the sou rce of netw o rk at tack: A techn ical, legal and societal p rob lem [A ]. P roceedings of the 2001 IEEE W o rk shop on Info rm ation A ssu rance and Secu rity [C ]. N Y: U n ited States M ilitary A cadem y, W est Po in t, 2001. [ 3 ] A L ittle Background O n T race B ack [ EB OL ]. h ttp: discovery. csc. ncsu. edu ~ pn ing Cou rses csc774 on 2 [4] Stone R. Cen ter track: A n IP overlay netw o rk fo r track ing do s floods [A ]. P roc 9th U sen ix Secu rity Sym p [C ]. U sen ix 212. A ssoc, 2000. 199 [ 5 ] Bu rch H , Chesw ick B. T racing anonym ou s p ackets to their app rox im ate sou rce [A ]. P roc 14th Conf System s A dm in istrat ion [C ]. U sen ix A ssoc, 2000. 313 322. [ 6 ] W aldvogel M. GO SS I vs. IP traceback rum o rs [A ]. P roc B 18th A nn Com pu ter Secu rity A pp lication s Conf (A CSA C 2002) [C ]. N evada, U SA : A CM , 2002. 5 13. [7] Savage S, W etherall D , Karlin A , et al P ract ical netw o rk . suppo rt fo r IP t raceback [A ]. P roceed ings of the 2000 A CM S IGCOMM Conference [C ]. 2000. Stockho lm , Sw eden: A CM , trace2back. pdf, 2003.

[ 21 ] H en ry C J L ee, M iao M a, V rizlynn L L , et al O n the issues . of IP traceback fo r IPv6 and m ob ile IPv6 [A ]. 8th IEEE Sym po sium on Com p u ters and Comm un ication s [C ]. Kem er 2

A n talya, T u rkey, 2003, 1: 582 587.

Expo sition (D ISCEX 2II) [C ]. A naheim , CA , 2001. 146 152. accoun tab le on the in ternet [A ]. P roceed ing s of 9th U SEN IX Secu rity Sym po sium 153.

in truders

Sym po sium on Secu rity and P rivacy [C ]. O ak land, CA ,

Infrastructu re

respon se

In ternational




友情链接: