虚假IP地址进攻溯源
当进攻数据包中的源IP地址是伪造的时,若何找到发送进攻数据包的实在IP地址?那一问题也被称为IP逃踪(IPTraceback)。对该问题, 需要根据差别布景、情状,差别分类办法来施行溯源办法。
①布景:取证人员能够掌握骨干收集上的全数或大部门路由器,而且能够修改路由软件。
取证人员能够在事先给骨干收集的路由器增加新的功用,在不影响一般路由的情状下修改原则的IP协议,以搀扶帮助发现实在的IP地址。
基于那一前提的办法次要有概率包标识表记标帜算法、确定包标识表记标帜算法、ICMP标识表记标帜算法等。同时还有一些组合办法,例如摘用数据包标识表记标帜和数据包笔录的混合办法;综合了 ICMP 和 PPM 算法, 路由器关于 IP 数据包以必然概率停止标识表记标帜, 而且同时把IP地址填进ICMP包中等等。
②布景:取证人员能够掌握骨干收集上的路由器,但不克不及修改路由软件。
根据此种情状,取证人员能够事先看察笔录流经骨干收集路由器的IP数据包,但不克不及改动原则的路由协议。
次要构想是,在路由器上笔录所有流经的数据包,当进攻发作时,受害主机向其上游路由器停止查询,路由器比对所笔录的数据包,能够构造出该数据包所颠末的途径。该办法长处是能够回溯单个数据包,但缺点是需要考虑路由器存储空间受限的问题。
所以针对此种情状,Alex C.Snoeren、Craig Partridge等人在《Single-packet IP traceback》设想了一个逃踪系统SPIE,不是让路由器笔录整个数据包,而是操纵bloom filter笔录数据包的摘要,大大削减了所需的存储空间。然后通过查询每个路由器上的数据包摘要,能够重构出进攻途径。
还能够根据部门路由器停止数据包笔录的情状, 而且关于多个进攻源问题, 该办法只需要逃踪属于多个进攻源的数据包就能够识别出多个进攻源。
在《Session based logging (SBL) for IP-traceback on network forensics》中提出一种基于Session的数据包笔录办法, 即只笔录TCP数据流中的毗连成立恳求SYN数据包和毗连末行 FIN 数据包, 漠视掉流中间的数据包, 从而大大削减所需的存储空间。
展开全文
在《Passive IP traceback: disclosing the locations of IP spoofers from path backscatter》中针对跨自治域的逃踪问题,能够操纵路由器的IP包笔录办法, 连系链路层的MAC地址来识别虚假IP地址, 实现了一个原型系统。
因为在那种情状下不克不及改动现有路由构造, 别的一个构想是在现有路由构造上成立一个笼盖收集(Overlay Network), 通过新设想的笼盖收集来实现数据包跟踪。
③布景:取证人员不克不及掌握骨干收集上的路由器,但能够在收集上摆设监控器。
那种情状下,取证人员只能在收集适宜的位置摆设监控器搜集数据包,那里的收集不是指骨干收集,而是指末端收集。
在大流量数据包情状下,因为收集阻塞等各类原因,路由器会有必然几率产生目标不成达的ICMP报文,因为进攻数据包的源IP地址是虚假的,一般是随机产生的,那些ICMP报文会被发往那些虚假的IP地址,此中包罗路由器的IP地址以及原数据包的源和目标IP地址。
因而摆设在收集上的监控器会收到那些ICMP报文,根据发送那些ICMP报文的路由器,能够构造出那些数据包的进攻途径。Robert Stone和Centertrack在《an IP overlay network for tracking DoS floods》提出了,操纵NetworkTelescope 项目(可以笼盖1/256的IPv4地址)搜集的数据,连系骨干网的拓扑构造,能够在必然水平上发现进攻源。
但是溯源逃踪的办法要求进攻数据包的流量比力大,而且在进攻正在停止的时候施行,一旦进攻完毕,那种办法就无法找到实在的IP地址【】。
④布景:取证人员既不克不及掌握骨干路由器, 也不克不及摆设监控器, 但晓得骨干收集拓扑构造。
在取证人员只晓得骨干收集的拓扑构造, 没有权限掌握骨干网中的路由器, 也没有前提摆设广泛全网的监控器的情状下,我们能够摘取以下几种逃踪溯源的办法。
Hal Burch和Bill Cheswick在《Tracing anonymous packets to theirapproximate source》提出了一种链路测试的办法。在大流量数据包的情状下,从被进攻目标动身,由近及远,依次对被进攻目标的上游路由器停止UDP泛洪。若某条链路上存在进攻流量,因为泛大水量的存在,将招致进攻流量丢包。根据那一现象,即能够揣度出某条链路上能否存在进攻流量,从而构造出进攻途径。
不外该办法只能对单个进攻流量停止检测,若同时存在多个进攻流量,则很难区分差别的进攻流量。那种办法同样要求进攻数据包流量较大,而且一旦进攻完毕,办法也就失效了。别的,那种办法自己就是一种 DoS进攻,会影响一般的数据流量。
也能够摘取一种基于蚁群的算法, 即受害主机发出一些蚁群, 那些蚁群根据链路中负载的水平来抉择途径, 链路负载越 大阐明越可能是进攻流量, 因而蚁群抉择该途径的概率越大。当所有蚁群到达所监控收集边沿时, 根据 蚁群所走过的途径, 则能够构造出最有可能的进攻途径。
⑤布景:取证人员既不克不及掌握骨干路由器、不克不及摆设监控器, 也不晓得拓扑构造。
假设取证人员不掌握任何资本, 在那一前提下似乎不成能逃踪到实在的IP地址。但能够摘取某种办法, 获得骨干收集的拓扑构造, 从而将问题转化为拓扑构造的情状,。如Dawn Xiaodong Song,和Adrian Perrig在《 Advanced and authenticated marking schemes for IP traceback》就是操纵了traceroute 获取收集拓扑构造。
所以关于一般虚假IP溯源问题的处理,能够根据情状的差别摘用差别的检测办法停止逃溯。不外现现在收集进攻情况、进攻手法复杂且手艺不竭晋级,我们也需要晋级我们的检测办法,进步收集进攻溯源的手艺程度,如许才气更好地庇护我们的收集平安。