论文部分内容阅读
随着互联网使用环境的变化,互联网技术的存在的问题日益体现出来,其中一个重要的问题就是不保证源地址的真实性。据统计,一星期内利用伪造IP源地址发动的DoS攻击可达有4 000余次。因而,在报文中保证源地址的真实性成为目前互联网技术亟待解决的问题。
一、伪造IP源地址的含义
为了能够在互联网中正常的通信,发送报文时发送者须在所发送的报文源地址字段写入发送者真实的IP地址,这样报文的接收者在回复时才能够知道将回复发给哪个地址。由于某些特殊目的,报文的发送者在发送报文时所填写的地址为虚假地址,这类行为我们称之为伪造IP源地址。目前互联网还不能完全对伪造IP源地址的报文做到有效的拦截和过滤,而且路由器在对报文进行转发时只看目的地址,对于源地址的真实与否不加考虑。因此,伪造IP源地址的报文是可以到达目的地的,这就为利用伪造IP源地址发动网络攻击提供了条件。由于难以查出伪造IP源地址的真正源头,因而在网络攻击发生后追查真正的攻击者就变得困难重重。
二、伪造IP源地址攻击的方式
1.伪造随机的IP源地址,受害者是报文的接收方。通过大量发出随机伪造的IP源地址报文,占用接收方的预留资源,使接收方无法为其他用户服务,这种方式称为DoS攻击。单一的DoS攻击往往是采用一对一方式的,当被攻击目标CPU速度低、内存小或者网络带宽小等各项性能指标不高时,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,单纯的伪造IP源地址的DoS攻击无法直接充分占用受害者的带宽资源或者处理能力,因为单一或者少数设备并不能产生足够使受害者的链路饱和或者超出目标设备处理能力的伪造IP源地址流量,而只能占用一些特定的资源。
2.伪造特定的IP源地址,受害者是伪造报文的接收者。由于在互联网中一些机制将报文的IP源地址作为认证的惟一手段,攻击者正是利用这一点伪造具有特定IP源地址的报文,使受害者接收某些虚假信息,在没有安全保护策略的情况下,这些报文都有可能被接收端相信,而做出攻击者希望的响应。这类攻击是对于网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。
3.伪造特定的IP源地址,受害者是被伪造者。很多DOS攻击源一起攻击某台服务器就组成了DDOS(分布式拒绝服务)攻击。DrDoS(分布式反射拒绝服务)是一种特别的DDoS攻击,该方式靠的是发送大量带有被害者IP源地址的数据包给攻击主机,然后攻击主机对IP源地址做出大量回复,这样大量的回复被“返回”给受害者,饱和其链路或者使其过载,达到和DDoS攻击相同的效果。
三、防御源地址伪造技术
3.1 过滤路径方案
过滤路径就是对伪造源地址的报文在传播路径上进行过滤和检查,也就是说让伪造源地址的报文无法到达目的地。虽然路径的中间节点可以检查报文的真实性,但是接收端也可以进行报文的过滤。路径过滤方案与端对端方案的区别在于中间节点是否具有检查能力。因为可以对报文在传播路径上进行过滤,所以伪造报文在到达受害者之前就已经被清除,保护了受害者免受这类伪造报文的攻击或者减少了伪造报文对受害者的伤害,起到很好的保护作用,特别对Dos攻击具有很强的防御作用。
3.2 端到端方案
端对端方案能够使报文的接收端获取报文时判别其源地址的真实性,也就是在报文发送端添加签名,报文的接收端可以根据该签名来判别报文是否真实,报文在中间网络上则无法被判别是否真实。报文的接收端可以是一个自治域,也可以是一台主机,也就是说报文的接收端是各种粒度的。端对端方案不仅可以用于制止带有伪造源地址的DDos攻击,还可以用于确保源地址的真实性。
3.3 traceback类方案
(1)报文标记。由于报文的接收者可以根据标记来查看和判断报文经过的路径,所以,可以在报文中加入路由器的标记。这种路径的确定法很轻量,实现过程中也不会太过加重路由器的负担。它的缺点在于,随着经过的路由器的增多加入的标记也会增多,相应的报文的长度也会更长,或者会清除掉之前的标记。由此可见traceback类方案是不适用于大型网络的。
(2)路由器记录。每个路由器保存一张位图,路由器通过Hash函数将转发的报文转换成一个数字,这个数字对应的相应位是被标记的位,管理者向所有路由器发出请求来获取标记了的路由器的信息来追查某个报文的源头,这样就可以找到报文被转发的路线。Hash碰撞是这种方式实现的最大困难,也就是不同的报文可能会在相同的Hash位上,这样就无法继续追查了。
(3)收集器处理。采用收集器处理来自路由器的报文及消息,并在此基础上判断报文的路径。由于路由器不用进行标记和记录,只需转发特定报文即可,因此可有效减轻路由器的负担。可是,这种方式也容易使收集器成为网络的桎梏。
四、结语
当前,伪造IP源地址发动网络攻击在互联网山日益猖狂,屡禁不止。为了减轻此类攻击的危害,必须过滤伪造IP源地址的报文,提高防护技术水平,保证报文IP源地址的真实性。
一、伪造IP源地址的含义
为了能够在互联网中正常的通信,发送报文时发送者须在所发送的报文源地址字段写入发送者真实的IP地址,这样报文的接收者在回复时才能够知道将回复发给哪个地址。由于某些特殊目的,报文的发送者在发送报文时所填写的地址为虚假地址,这类行为我们称之为伪造IP源地址。目前互联网还不能完全对伪造IP源地址的报文做到有效的拦截和过滤,而且路由器在对报文进行转发时只看目的地址,对于源地址的真实与否不加考虑。因此,伪造IP源地址的报文是可以到达目的地的,这就为利用伪造IP源地址发动网络攻击提供了条件。由于难以查出伪造IP源地址的真正源头,因而在网络攻击发生后追查真正的攻击者就变得困难重重。
二、伪造IP源地址攻击的方式
1.伪造随机的IP源地址,受害者是报文的接收方。通过大量发出随机伪造的IP源地址报文,占用接收方的预留资源,使接收方无法为其他用户服务,这种方式称为DoS攻击。单一的DoS攻击往往是采用一对一方式的,当被攻击目标CPU速度低、内存小或者网络带宽小等各项性能指标不高时,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,单纯的伪造IP源地址的DoS攻击无法直接充分占用受害者的带宽资源或者处理能力,因为单一或者少数设备并不能产生足够使受害者的链路饱和或者超出目标设备处理能力的伪造IP源地址流量,而只能占用一些特定的资源。
2.伪造特定的IP源地址,受害者是伪造报文的接收者。由于在互联网中一些机制将报文的IP源地址作为认证的惟一手段,攻击者正是利用这一点伪造具有特定IP源地址的报文,使受害者接收某些虚假信息,在没有安全保护策略的情况下,这些报文都有可能被接收端相信,而做出攻击者希望的响应。这类攻击是对于网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。
3.伪造特定的IP源地址,受害者是被伪造者。很多DOS攻击源一起攻击某台服务器就组成了DDOS(分布式拒绝服务)攻击。DrDoS(分布式反射拒绝服务)是一种特别的DDoS攻击,该方式靠的是发送大量带有被害者IP源地址的数据包给攻击主机,然后攻击主机对IP源地址做出大量回复,这样大量的回复被“返回”给受害者,饱和其链路或者使其过载,达到和DDoS攻击相同的效果。
三、防御源地址伪造技术
3.1 过滤路径方案
过滤路径就是对伪造源地址的报文在传播路径上进行过滤和检查,也就是说让伪造源地址的报文无法到达目的地。虽然路径的中间节点可以检查报文的真实性,但是接收端也可以进行报文的过滤。路径过滤方案与端对端方案的区别在于中间节点是否具有检查能力。因为可以对报文在传播路径上进行过滤,所以伪造报文在到达受害者之前就已经被清除,保护了受害者免受这类伪造报文的攻击或者减少了伪造报文对受害者的伤害,起到很好的保护作用,特别对Dos攻击具有很强的防御作用。
3.2 端到端方案
端对端方案能够使报文的接收端获取报文时判别其源地址的真实性,也就是在报文发送端添加签名,报文的接收端可以根据该签名来判别报文是否真实,报文在中间网络上则无法被判别是否真实。报文的接收端可以是一个自治域,也可以是一台主机,也就是说报文的接收端是各种粒度的。端对端方案不仅可以用于制止带有伪造源地址的DDos攻击,还可以用于确保源地址的真实性。
3.3 traceback类方案
(1)报文标记。由于报文的接收者可以根据标记来查看和判断报文经过的路径,所以,可以在报文中加入路由器的标记。这种路径的确定法很轻量,实现过程中也不会太过加重路由器的负担。它的缺点在于,随着经过的路由器的增多加入的标记也会增多,相应的报文的长度也会更长,或者会清除掉之前的标记。由此可见traceback类方案是不适用于大型网络的。
(2)路由器记录。每个路由器保存一张位图,路由器通过Hash函数将转发的报文转换成一个数字,这个数字对应的相应位是被标记的位,管理者向所有路由器发出请求来获取标记了的路由器的信息来追查某个报文的源头,这样就可以找到报文被转发的路线。Hash碰撞是这种方式实现的最大困难,也就是不同的报文可能会在相同的Hash位上,这样就无法继续追查了。
(3)收集器处理。采用收集器处理来自路由器的报文及消息,并在此基础上判断报文的路径。由于路由器不用进行标记和记录,只需转发特定报文即可,因此可有效减轻路由器的负担。可是,这种方式也容易使收集器成为网络的桎梏。
四、结语
当前,伪造IP源地址发动网络攻击在互联网山日益猖狂,屡禁不止。为了减轻此类攻击的危害,必须过滤伪造IP源地址的报文,提高防护技术水平,保证报文IP源地址的真实性。