近幾年DoS(拒絕服務)攻擊開始被廣泛使用,給各個大小網站帶來了不小的壓力,加之法律的不健全,在追究相關責任人的法律責任時非常困難。是以安全裝置廠商開始加大對IP反向追蹤技術的研發投入,争取在追究責任人時能提供更多的證據。
下面我們就來了解一下現有的IP反向追蹤技術。
DoS攻擊
當今網絡攻擊的最常用手段就是DoS攻擊,DoS攻擊一般都使用IP欺騙方式實施攻擊,使網絡伺服器充斥大量要求回複的資訊,消耗網絡帶寬或系統資源,導緻網絡或系統不勝負荷以至于癱瘓而停止為合法使用者提供正常的網絡服務。
大部分DDoS(動态拒絕服務)攻擊都是間接地通過其他主機系統攻擊它們的目标。攻擊者首先要入侵“殭屍電腦”的主機,獲得管理特權後在主機上建立新賬号。再對目标主機發送大量資料包,導緻目标主機進入癱瘓狀态。之後攻擊者就可以通過管理者帳号清理“殭屍電腦”的被入侵和攻擊資訊,最終完成攻擊目的。
在DDoS 攻擊中,為了提高攻擊的成功率,攻擊者會同時控制成百上千台“殭屍電腦”,每台“殭屍電腦”根據攻擊指令向目标主機發送大量的DoS資料包,使目标主機癱瘓。
是以必須采取相應的措施來阻止或者減輕DoS/DDoS攻擊,并對攻擊做出反應。阻止或者減輕攻擊效果的方法稱為預防性措施,包括優化軟體參數、輸入過濾和速率限制。
而要對攻擊做出反應,則必須采用各種IP 反向追蹤技術,不僅能識别攻擊主機的真正IP位址,而且還可以獲得攻擊源的主機名稱或管理者帳号。
IP追蹤方法
IP追蹤方法分為主動追蹤和反應追蹤(也稱被動追蹤)。主動追蹤技術為了追蹤IP源位址,需要在傳輸資料包時添加一些額外資訊資訊,并利用這些資訊識别攻擊源。
主動追蹤法在資料包通過網絡時記錄追蹤資訊,受害主機可以使用其産生的追蹤資料重建攻擊路徑,并最終識别攻擊者。主動追蹤包括資料包記錄、消息傳遞和資料包标記。
而反應追蹤卻是在檢測到攻擊之後,才開始利用各種手段從攻擊目标反向追蹤到攻擊的發起點。但是反應追蹤必須在攻擊還在實施時完成追蹤,否則,一旦攻擊停止,反應追蹤技術就會無效,反應追蹤的措施有輸入調試和可控湧塞。
通常,大部分反應追蹤很大程度上需要與ISP合作,這樣會造成大量的管理負擔以及法律和政策問題,是以有效的IP追蹤方法應該盡量不需要和ISP合作為好。
IP追蹤技術的關鍵需求包括:
與現有網絡協定的相容;
與現有的路由器和網絡結構相容;
網絡業務開銷可以忽略;
支援新增的裝置和主機;
對付DDoS攻擊的有效性;
在時間和資源方面的最小開銷;
不需要與ISP合作;
追蹤的成功機率不取決于攻擊的持續時間。
IP66線上查IP位址位置:https://www.ip66.net/?utm-source=LJ&utm-keyword=?1146
方法一、鍊路測試
鍊路測試法是通過測試路由器之間的網絡鍊路來确定攻擊源頭。從最接近受害主機的路由器開始,測試它的上行鍊路以确定攜帶攻擊資料包的路由器。
如果檢測到了有位址欺騙的資料包(通過比較資料包的源IP位址和它的路由表資訊),那麼它就會登入到上一級路由器,并繼續監視資料包。如果仍然檢測到有位址欺騙的擴散攻擊,就會登入到再上一級路由器上再次監視位址欺騙的資料包。重複執行這一過程,直到到達實際的攻擊源。鍊路測試是反應追蹤方法,要求攻擊在完成追蹤之前都一直存在。
輸入調試和受控淹沒是鍊路測試中的兩種實作方法。大多數路由器能夠确定特定資料包的輸入網絡鍊路。如果路由器操作人員知道攻擊特征,那就有可能在路由器上确定輸入網絡鍊路。然後,ISP必須對連接配接到網絡鍊路的上遊路由器執行相同的處理過程,依次類推直到找到攻擊源、或者直到蹤迹離開了目前ISP的界線。
在後一種情況中,管理者必須聯系上遊ISP繼續追蹤過程。這個技術的最大缺點是ISP之間的通信和協作上的巨大管理開銷,它在受害主機和ISP方面都需要時間和人力。這些問題在DDoS攻擊中變得更加複雜,因為攻擊可以來自屬于許多不同ISP的計算機。
受控淹沒技術是從受害網絡向上遊網絡段産生一個突發網絡流量,并且觀察這個故意産生的流量湧塞是如何影響攻擊強度的。受害主機使用周圍已知的Internet拓撲結構圖,選擇最接近自己的那個路由器的上遊鍊路中的主機,對這個路由器的每個輸入網絡鍊路分别進行強行淹沒。
由于這些資料包同攻擊者發起的資料包同時共享了路由器,是以增加了路由器丢包的可能性。受控淹沒的最大問題是技術本身是一類DoS攻擊,可能會對上一級路由器和網絡上的合法業務産生較大的影響。
方法二、資料包記錄
确定網絡攻擊真正起源的最有效方法是,在核心路由器上記錄資料包,然後使用資料讀取技術提取有關攻擊源的資訊。盡管這個解決方法看上去很簡單,并且可以對攻擊做出準确分析(在攻擊停止之後仍可進行),但是它的最大缺點是儲存記錄需要大量的處理能力和存儲空間,而且儲存和共享這些資訊還存在法律及保密問題。
後來出現了一個稱為SPIE(Source Path Isolation Engine)的資料包記錄和IP追蹤方法。它不是存儲整個資料包,而是隻儲存有效存儲結構中相應固定的Hash摘要。資料收集網絡和分布式網絡的分析可以使用這個方法提取重要的資料包資訊,并且産生合理的攻擊圖,進而識别攻擊源頭。
目前基于資料包記錄的追蹤方法使用滑動時間窗來存儲記錄的資料,進而避免了當攻擊正在進行時或者發生後不久,捕獲攻擊需要過多的存儲和分析需求。
方法三、消息傳遞
2000年7月,Internet工程任務組(IETF)成立了一個工作組,專門開發基于iTrace的ICMP追蹤消息。這個方法利用加載跟蹤機制的路由器,以很低的機率發送一種特殊定義的ICMP資料包。
這個資料包包含局部路徑資訊:發送它的路由器的IP位址、前一跳和後一跳路由器的IP位址以及它的身份驗證資訊。可以通過查找相應的ICMP追蹤消息,并檢查它的源IP位址,來識别經過的路由器。
但是, 由于為每個分組建立一個ICMP追蹤消息增加了網絡業務,是以每個路由器以1/20,000的機率為經過它傳輸的分組建立ICMP追蹤消息。如果攻擊者發送了許多分組,那麼目标網絡就可以收集足夠的ICMP追蹤消息來識别它的攻擊路徑。
該算法的缺陷在于産生ICMP追蹤消息資料包的機率不能太高,否則帶寬耗用太高,是以該算法在攻擊資料包數量很多時才比較有效。iTrace機制的缺點在DDoS攻擊中變得更加明顯。受害主機可能會從最近的路由器獲得許多ICMP追蹤消息,其中很少一部分是由接近“殭屍電腦”路由器産生的。
為了克服這個缺點,研究人員對iTrace提出了一種改進方法,稱為Intension驅動的ICMP追蹤。這個技術分開了判決子產品和iTrace産生子產品之間的消息傳遞功能。接收網絡為路由表提供了特定的資訊以指出它需要ICMP追蹤消息。在路由表中提供的特定資訊的基礎上,判決子產品将選擇接着使用哪類資料包來産生iTrace消息。然後,iTrace産生子產品處理這個選中資料包,并且發送一個新的iTrace消息。
Intention驅動的追蹤還允許無論接收網絡是否想接收iTrace 資料包,都可以發信号,這就增加了對接收網絡有用消息的比例。如果特定網絡懷疑或者檢測到它正遭到攻擊,那麼這種方法也很有用:它可以向上一級路由器請求iTrace資料包,以識别攻擊業務的源頭。
免費領取1000次/日查詢次數:https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1086
方法四、資料包标記
資料包标記方法是在被追蹤的IP資料包中插入追蹤資料,進而在到目标主機的網絡上的各個路由器上标記資料包。資料包标記的最簡單的實作是使用記錄路由選項,在IP頭的選項字段中存儲路由器位址。
但是,這個方法增加了每個路由器中的資料包長度,直接導緻一個資料包被分成更多段。而且,攻擊者可以試圖用假資料來填充這個保留字段,進而逃避追蹤。
有人2001年提出了利用随機抽樣和壓縮的資料包标記算法。這個算法依賴随機資料包标記(PPM)的追蹤機制,使用機率為1/25的随機抽樣,進而避免了路由器資料包标記的過多開銷。此外,每個資料包隻存儲它的路由資訊的一部分,而不是整條路徑的資訊。隻要攻擊資料包足夠多,就可以保證受害主機重構攻擊路徑上的每一個路由器。
壓縮邊緣分段抽樣技術(CEFS)已經成為最著名的IP追蹤機制之一。要執行一次成功的追蹤,受害者必須搜集足夠多的資料包來重建攻擊路徑的每個邊緣和完整的攻擊拓撲圖。但是這在DDoS攻擊中非常困難,因為正确地将分段和編碼的路徑邊緣組織在一起很困難。
邊緣識别PPM的方法通過存儲每個IP位址的Hash值,進一步減少存儲需求。這種方法假設受害主機擁有所有上級路由器的完整網絡圖。在重新組裝邊緣分段之後,該方法将産生的IP位址Hash值與從網絡圖得到的路由器IP位址的Hash值相比較,以便于重建攻擊路徑。這個方法比以前的方法對于DDoS攻擊更加有效。