资源描述:
《分布式拒绝服务攻击及ip溯源技术探析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、分布式拒绝服务攻击及IP溯源技术探析摘要:拒绝服务攻击已经成为威胁互联X安全的重要攻击手段,本文介绍了分布式拒绝服务(DDoS)攻击的概念,分析了DDoS攻击的原理;最后介绍了多种IP溯源技术的优缺点。 关键词:IP溯源DoS攻击DDoS攻击分布式拒绝服务X络安全 :TP393:A:1007-9416(2010)08-0158-02 DDoSAttackTechnologyanddiscussonIPtraceback CHENGuang-hua (mandingmunicationsAcademy,P,UDP以及它们的组合。TCP攻击中,最常见的就
2、是SYN泛洪攻击,发送者发送大量的TCPSYN包到victim的服务端口。如果Victim的服务端口在主动监听连接请求,Victim将发送一个SYN-ACK消息作为响应。然而,由于攻击包的源地址通常是随机产生的(伪造的地址),响应消息将会被发送到X络上其他的地方而不是真正的,也就不会收到相应的回应消息。由于Victim在放弃前将多次重传SYN-ACK消息,而这些半连接将迅速消耗掉分配给未确定连接的内存,从而导致Victim不能接受任何新的请求。 2.2反弹攻击 反弹攻击又称反射攻击或间接攻击,与直接攻击不同,反弹攻击多了反射器的反弹环节。中间的节点,如P溯源法;分
3、组标记溯源法,路由器日志记录溯源法等等。 3.1链路测试溯源法 链路测试溯源法是从离受害者最近的路由器开始,依次检查该路由器的所有直接上游路由器,看看攻击数据流是由哪个路由器转发过来的,然后以新的路由器为基础继续检查,直到不能继续下去为止。这种方法必须在攻击尚在继续时进行,当攻击停止后,就无法使用。此外,当有位于不同地点的多个攻击者同时对受害者实施分布式攻击时,由于一个上游路由器传来的包只构成攻击数据流的一小部分,当切断这一小部分时,对攻击效果不会有太大影响,因此,这时候链路测试的效果将不会很好。链路测试有输入调试和受控泛洪法(ControlledFlooding
4、)两种常用的方案。 3.1.1输入调试法 首先,受害者必须检测到攻击并能提取攻击报文的特征;然后将这些特征提交给X络管理员。X络管理员在收到请求后,会在受害者的上游路由器上安装输入调试器。输入调试器根据攻击特征判断攻击报文经过哪些路由器并从哪些物理接口进入。根据调试结果管理员能找到攻击报文经过的更上游的路由器,然后再在这些路由器上安装输入调试器,按照同样的方法逐跳回溯,直到找到攻击的或到达ISP的边界为止。该方法工作量大,而且需要ISP合作,ISP合作非常麻烦,需要协调。因此输入调试变得非常缓慢,甚至根本就不能完成。 3.1.2受控泛洪法 受控泛洪法是Burc
5、h和ChesP跟踪溯源法 基于ICMP的追踪方法主要通过路由器向受害者主动发送节点信息的方式为追踪提供信息,该方法的基本过程是:路由器以很低的概率(如1/20000)对转发报文进行随机采样,并产生一个特定的ICMP追踪消息((ICMPTracebackMessage),该消息包含采样报文部分内容的拷贝和节点信息,然后路由器将该iTrace消息发往与采样报文相同的目的地。在泛洪式DDoS攻击下,受害者能接收到足够多iTrace消息,并根据这些消息重构攻击路径。 3.3路由器日志记录溯源法 路由器日志记录溯源法通过将用户的X络行为信息以日志的形式记录在路由器或特定的
6、日志数据库中,利用数据挖掘或者是数据融合技术提取出攻击信息并整理出攻击路径,这些被记录的信息可以是经过路由器的报文、报文的、流信息等。要求非常大的存储空间成为日志法的最大问题。如果通过路由器的每一个数据包内容由路由器全部记录下来的话,在一分钟内,一个相当于1.25吉比特每秒的OC-192的连接就需要为它准备75G的空间,这种记录全部信息的方法要求存储空间太大,不可行,而且由于直接对报文进行日志,可能会泄露用户隐私,不够安全。Snoeren等人对早期的日志法做出了改进,提出了一种基于(hash)的只记录报文的IP溯源方法,该方法包括数据载荷中的前8字节数据和IP头中的不
7、变域。由于只存储,使得在单位时间内路由器需要的存储空间减少到路由器连接带宽的0.5%。总之,路由器日志记录溯源法的最大优点是追踪速度快,可以在攻击发生以后进行溯源,没有实时性要求。缺点是路由器的开销比较大,日志格式不统一,不同运营商日志无法共享,而且要求全X实施,实际可操作性不强。 4结语 IP溯源技术是一种试图找出攻击发起端的技术。近几年来,研究人员提出了各种各样的IP溯源技术,如上面提到的链路测试溯源法;ICMP溯源法;路由器日志记录溯源法等等。但现有的IP溯源技术都不能进行真正意义上的IP溯源。因此对于IP溯源技术仍然处在一个不断探索和