文档介绍:IP溯源技术研究论文
.freelurf Flood attack
这种攻击方式也是利用ICMP协议,只不过把目标指向广播地址。如果攻击者在源地址中填入某个网络的广播地址,那么被攻击者送回的响应包将发往整个子网域,因而造成网络拥塞。
DoS攻击盛行的原因
统计表明,近年来拒绝服务攻击事件持续上升。究其原因,一方面DoS攻击极易实施,网络上存在多种方便的工具,攻击者只需这些工具,就可以利用它们对受害者发动攻击;另一方面,与特权提升攻击不同,DoS攻击一般不需要攻击者与受害者之间进行交互,这样攻击者就可能伪造攻击数据包中的源IP地址,使得受害者不知攻击来自于何方,从而难以采取有效的措施防范攻击或者缓解攻击所造成的影响,又难以找到攻击者,追究其责任。此外,分布式拒绝服务攻击使得多个拥有较少资源的攻击者通过协同工作可能有效的攻击资源丰富的受害者,病毒、蠕虫也加剧了DoS攻击中业已不平衡的攻击者与受害者的关系,使受害者越发处于不利地位。
DoS的防范非常困难,如果我们能够通过有效的方法追踪到攻击者,使得攻击者能够受到法律上的和道德上的约束,则拒绝服务攻击就可以大为减少。
3 链接测试法(Link Testing)
多数的溯源技术都是从最接近受害者的路由器开始,逐步检查上行数据链,直到找到攻击流量发起源。理想情况下,这个过程可以递归执行直到找到攻击源头。这种方法只在攻击进行的过程中有效,很难在攻击结束后或者间歇性攻击的情况下追踪。
入流量调试(Input Debugging)
许多路由器都提供入流量调试的功能。这允许管理员在一些出口点过滤特定的数据包,并决定它们来自哪个入口点。这种特性可以被用来用IP溯源。首先受害者确定自己受到了攻击,并且能够从所有的数据包中提取出攻击包标志。通过这些标志,网络管理员在上行的出口端配置合适的入流量调试,发现攻击报文来自哪个入口点,以及与该入口点相应的上行路由器。接着在上行路由器继续入流量调试过程。该过程重复执行,直到发现攻击报文的源头。
入流量调试技术的最大弱点是管理负担比较重,很多工作依靠手工完成。需要网络管理人员有较高的技术水平,并能够积极地配合和交流,甚至可能需要联系多个网络服务提供商(ISP),因此需要较高的技术和大量的时间,几乎不可能完成。
可控洪泛法(Controlled Flooding)
该方法采用向连接发送大量报文(即洪水)来观察对攻击报文传输产生的影响。受害者需要首先掌握网络的拓扑情况,强制处于上行路由的主机或者路由器向每一个连接分别发送洪水。由于路由器的缓冲区是共享的,因此来自负载较重的连接上的报文,其被丢失的概率也相应较大。这样,通过向某个连接发送“洪水”后攻击报文减少的情况,就可以确定该连接是否传输了攻击报文。
这种方法最大的缺点是本身就是一种DoS攻击,会对一些信任路径也进行DoS;而且要求有一个几乎覆盖整个网络的拓扑图。这种方法只对正在进行中的攻击有效。
目前CISCO路由器的CEF(Cisco Express Forarking packets)
该方法的思想与ICMP溯源法有类似之处,它是路由器在转发报文的过程中,以一定的概率给报文做标记,标识负责转发它的路由器信息。受害机器即可利用报文中的信息来重构它的传输路径。出于避免