IP反向追踪技术的关键技术及实现方法

    导语

    自从互联网诞生以来，网络安全这个问题就一直困扰着网络使用者、网络管理员和安全厂商。特别是网络普及到家庭后，入侵和攻击现象更加严重，网络安全设备厂商也不停的开发新技术，帮助企业和个人防范网络攻击。

    近几年DoS（拒绝服务）攻击开始被广泛使用，给各个大小网站带来了不小的压力，加之法律的不健全，在追究相关责任人的法律责任时非常困难。所以安全设备厂商开始加大对IP反向追踪技术的研发投入，争取在追究责任人时能提供更多的证据。

    下面我们就来了解一下现有的IP反向追踪技术，它的市场前景又如何？

    DoS攻击

    当今网络攻击的最常用手段就是DoS攻击，DoS攻击一般都使用IP欺骗方式实施攻击，使网络服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止为合法用户提供正常的网络服务。

    大部分DDoS（动态拒绝服务）攻击都是间接地通过其他主机系统攻击它们的目标。攻击者首先要入侵“肉鸡”的主机，获得管理特权后在主机上创建新账号。再对目标主机发送大量数据包，导致目标主机进入瘫痪状态。之后攻击者就可以通过管理员帐号清理“肉鸡”的被入侵和攻击信息，最终完成攻击目的。

    在DDoS 攻击中，为了提高攻击的成功率，攻击者会同时控制成百上千台“肉鸡”，每台“肉鸡”根据攻击命令向目标主机发送大量的DoS数据包，使目标主机瘫痪。

    所以必须采取相应的措施来阻止或者减轻DoS/DDoS攻击，并对攻击做出反应。阻止或者减轻攻击效果的方法称为预防性措施，包括优化软件参数、输入过滤和速率限制。

    而要对攻击做出反应，则必须采用各种IP 反向追踪技术，不仅能识别攻击主机的真正IP地址，而且还可以获得攻击源的主机名称或管理员帐号。IP追踪方法

    IP追踪方法分为主动追踪和反应追踪（也称被动追踪）。主动追踪技术为了追踪IP源地址，需要在传输数据包时添加一些额外信息信息，并利用这些信息识别攻击源。

    主动追踪法在数据包通过网络时记录追踪信息，受害主机可以使用其产生的追踪数据重建攻击路径，并最终识别攻击者。主动追踪包括数据包记录、消息传递和数据包标记。

    而反应追踪却是在检测到攻击之后，才开始利用各种手段从攻击目标反向追踪到攻击的发起点。但是反应追踪必须在攻击还在实施时完成追踪，否则，一旦攻击停止，反应追踪技术就会无效，反应追踪的措施有输入调试和可控涌塞。

    通常，大部分反应追踪很大程度上需要与ISP合作，这样会造成大量的管理负担以及法律和政策问题，因此有效的IP追踪方法应该尽量不需要和ISP合作为好。

    IP追踪技术的关键需求包括：

    与现有网络协议的兼容；

    与现有的路由器和网络结构兼容；

    网络业务开销可以忽略；

    支持新增的设备和主机；

    对付DDoS攻击的有效性；

    在时间和资源方面的最小开销；

    不需要与ISP合作；

    追踪的成功概率不取决于攻击的持续时间。

    方法一、链路测试

    链路测试法是通过测试路由器之间的网络链路来确定攻击源头。从最接近受害主机的路由器开始，测试它的上行链路以确定携带攻击数据包的路由器。

    如果检测到了有地址欺骗的数据包（通过比较数据包的源IP地址和它的路由表信息），那么它就会登录到上一级路由器，并继续监视数据包。如果仍然检测到有地址欺骗的扩散攻击，就会登录到再上一级路由器上再次监视地址欺骗的数据包。重复执行这一过程，直到到达实际的攻击源。链路测试是反应追踪方法，要求攻击在完成追踪之前都一直存在。

    输入调试和受控淹没是链路测试中的两种实现方法。大多数路由器能够确定特定数据包的输入网络链路。如果路由器操作人员知道攻击特征，那就有可能在路由器上确定输入网络链路。然后，ISP必须对连接到网络链路的上游路由器执行相同的处理过程，依次类推直到找到攻击源、或者直到踪迹离开了当前ISP的界线。

    在后一种情况中，管理员必须联系上游ISP继续追踪过程。这个技术的最大缺点是ISP之间的通信和协作上的巨大管理开销，它在受害主机和ISP方面都需要时间和人力。这些问题在DDoS攻击中变得更加复杂，因为攻击可以来自属于许多不同ISP的计算机。

    受控淹没技术是从受害网络向上游网络段产生一个突发网络流量，并且观察这个故意产生的流量涌塞是如何影响攻击强度的。受害主机使用周围已知的Internet拓扑结构图，选择最接近自己的那个路由器的上游链路中的主机，对这个路由器的每个输入网络链路分别进行强行淹没。

    由于这些数据包同攻击者发起的数据包同时共享了路由器，因此增加了路由器丢包的可能性。受控淹没的最大问题是技术本身是一类DoS攻击，可能会对上一级路由器和网络上的合法业务产生较大的影响。方法二、数据包记录

    确定网络攻击真正起源的最有效方法是，在核心路由器上记录数据包，然后使用数据读取技术提取有关攻击源的信息。尽管这个解决方法看上去很简单，并且可以对攻击做出准确分析（在攻击停止之后仍可进行），但是它的最大缺点是保存记录需要大量的处理能力和存储空间，而且保存和共享这些信息还存在法律及保密问题。

    后来出现了一个称为SPIE(Source Path Isolation Engine)的数据包记录和IP追踪方法。它不是存储整个数据包，而是只保存有效存储结构中相应固定的Hash摘要。数据收集网络和分布式网络的分析可以使用这个方法提取重要的数据包信息，并且产生合理的攻击图，从而识别攻击源头。

    当前基于数据包记录的追踪方法使用滑动时间窗来存储记录的数据，从而避免了当攻击正在进行时或者发生后不久，捕获攻击需要过多的存储和分析需求。

    方法三、消息传递

    2000年7月，Internet工程任务组(IETF)成立了一个工作组，专门开发基于iTrace的ICMP追踪消息。这个方法利用加载跟踪机制的路由器，以很低的概率发送一种特殊定义的ICMP数据包。

    这个数据包包含局部路径信息：发送它的路由器的IP地址、前一跳和后一跳路由器的IP地址以及它的身份验证信息。可以通过查找相应的ICMP追踪消息，并检查它的源IP地址，来识别经过的路由器。

    但是, 由于为每个分组创建一个ICMP追踪消息增加了网络业务，所以每个路由器以1/20,000的概率为经过它传输的分组创建ICMP追踪消息。如果攻击者发送了许多分组，那么目标网络就可以收集足够的ICMP追踪消息来识别它的攻