攻击拒绝服务攻击路由反向追踪算法综述

拒绝服务攻击路由反向追踪算法综述

拒绝服务攻击路由反向追踪算法综述

拒绝服务攻击路由反向追踪算法综述

信息技术论文 更新 2006-4-8阅读

拒绝服务攻击路由反向追踪算法综述

薛东

摘要 针对拒绝服务攻击本文介绍了几种发现拒绝服务攻击路径的反向追踪算法。针对每一种算法给出了其相应的原理和优缺点。并在总体上对这些算法的实现难度、效果等进行了比较。

关键字 路由器 路由 反向追踪 ICMP IP

背景

随着互联网络的发展越来越多的服务通过网络为大众提供与此同时针对互联网服务的攻击手段也出现了拒绝服务攻击简称DOS就是黑客们最常用的手段。这种攻击行为使网络服务器充斥大量要求回复的信息消耗网络带宽或系统资源导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

拒绝服务攻击使用‘虚假’数据包源地址为假来淹没主机从而导致其对正常用户的服务质量下降或服务拒绝。有时黑客们为了提高攻击效果会联合多个攻击站点一起向受害者发送攻击数据包这就是分布式拒绝服务攻击DDO S。根据CERT C omputer EmergencyResponse Team的统计拒绝服务攻击的发生率在近几年有明显的增加。 2000年2月包括yaho o在内的多家大型网站被中断服务数小时事后证明黑客采用的正是DDO S。

拒绝服务攻击反向追踪问题的难点在于攻击数据包通常都具有不正确的或“伪装”的IP源地址。这些包在网路上漫游使得我们无法找到真正的源信息。尽管IP包头中的源地址是虚假的但每个IP包都必须经过从攻击方到受害者之间的路由器转发记录下这些路由器就可以恢复出攻击所经过的路径这也是拒绝服务攻击路由反向追踪算法的基本思路。

路由反向追踪算法

1链路测试

原理链路测试的思想是从最接近受害者的路由器开始测试其上游所有链路找出是哪一个链路传输了攻击的数据流然后更上一级路由器重复该过程直到发现攻击源。它又分为以下两种测试方法

1 1输入测试

很多路由器都提供以下的特性允许操作员在路由器的某些输出端口

上禁止一些特定的数据包同时也可以检测出某一种类型的数据包到达了哪个输入端口该特性可以用于路由的反向跟踪。

首先受害者必须确定自己遭到了攻击并从攻击数据包中提取出它们共有的一些攻击特征然后以某种方式通知网络操作员网络操作员针对该特征在受害者的上一级路由器的输出端口上过滤具有该特征的数据包这里说的过滤并不是禁止的意思而是发现具有攻击特征的数据报过滤机制同时可以揭示出这些数据包的输入端口也就是揭示出转发攻击数据流的上一级路由器。上游路由器再重复该过程直到找到攻击源如果该过程进行到了ISP边界则还需要联系上一级ISP 以完成整个跟踪过程。

问题该方法要求很高的人工管理量。而且在多个ISP之间协调是件费时费力的工作 同时并不能保证所有的ISP都会愿意合作。

1 2有控制淹没

该方法通过将与受害者相连的每一条输入链路进行人为淹没并观察

攻击数据包通讯情况的变化来检测出攻击的来源。

受害者使用预先生成的网络拓扑选择最接近自己的路由器的上游链路中的主机通过与这些主机合作对路由器的每一条输入链路分别进行强行淹没。因为路由器缓冲的共享特性每一个在过载链路上通过的数据包其丢失的概率都会增加当然这其中也包括攻击数据包。通过观察到达受害者的攻击数据包速率的变化就可以确定攻击数据流的来源。通过一级级的使用该方法就可以最终恢复出攻击路由。