拒絕服務(wù)攻擊路由反向追蹤算法綜述

薛東

 

摘要： 針對(duì)拒絕服務(wù)攻擊，本文介紹了幾種發(fā)現(xiàn)拒絕服務(wù)攻擊路徑的反向追蹤算法。針對(duì)每一種算法給出了其相應(yīng)的原理和優(yōu)缺點(diǎn)。并在總體上，對(duì)這些算法的實(shí)現(xiàn)難度、效果等進(jìn)行了比較。

關(guān)鍵字：  路由器  路由  反向追蹤  ICMP  IP

背景

隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，越來越多的服務(wù)通過網(wǎng)絡(luò)為大眾提供，與此同時(shí)，針對(duì)互聯(lián)網(wǎng)服務(wù)的攻擊手段也出現(xiàn)了，拒絕服務(wù)攻擊，簡(jiǎn)稱DOS，就是黑客們最常用的手段。這種攻擊行為使網(wǎng)絡(luò)服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。

拒絕服務(wù)攻擊使用‘虛假’數(shù)據(jù)包（源地址為假）來淹沒主機(jī)，從而導(dǎo)致其對(duì)正常用戶的服務(wù)質(zhì)量下降或服務(wù)拒絕。有時(shí)黑客們?yōu)榱颂岣吖?/p>

擊效果，會(huì)聯(lián)合多個(gè)攻擊站點(diǎn)一起向受害者發(fā)送攻擊數(shù)據(jù)包，這就是分布式拒絕服務(wù)攻擊（DDOS）。根據(jù)CERT（Computer Emergency Response Team）的統(tǒng)計(jì)，拒絕服務(wù)攻擊的發(fā)生率在近幾年有明顯的增加。2000年2月，包括yahoo在內(nèi)的多家大型網(wǎng)站被中斷服務(wù)數(shù)小時(shí)，事后證明黑客采用的正是DDOS。

拒絕服務(wù)攻擊反向追蹤問題的難點(diǎn)在于攻擊數(shù)據(jù)包通常都具有不正確的.或“偽裝”的IP源地址。這些包在網(wǎng)路上漫游，使得我們無法找到真正的源信息。盡管IP包頭中的源地址是虛假的，但每個(gè)IP包都必須經(jīng)過從攻擊方到受害者之間的路由器轉(zhuǎn)發(fā)，記錄下這些路由器，就可以恢復(fù)出攻擊所經(jīng)過的路徑，這也是拒絕服務(wù)攻擊路由反向追蹤算法的基本思路。

路由反向追蹤算法

1．鏈路測(cè)試

原理：鏈路測(cè)試的思想是，從最接近受害者的路由器開始，測(cè)試其上游所有鏈路，找出是哪一個(gè)鏈路傳輸了攻擊的數(shù)據(jù)流，然后，更上一級(jí)路由器重復(fù)該過程，直到發(fā)現(xiàn)攻擊源。它又分為以下兩種測(cè)試方法：

1．1輸入測(cè)試：

很多路由器都提供以下的特性：允許操作員在路由器的某些輸出端口上，禁止一些特定的數(shù)據(jù)包，同時(shí)也可以檢測(cè)出某一種類型的數(shù)據(jù)包到達(dá)了哪個(gè)輸入端口，該特性可以用于路由的反向跟蹤。

首先，受害者必須確定自己遭到了攻擊，并從攻擊數(shù)據(jù)包中提取出它們共有的一些攻擊特征，然后以某種方式通知網(wǎng)絡(luò)操作員，網(wǎng)絡(luò)操作員針對(duì)該特征，在受害者的上一級(jí)路由器的輸出端口上過濾具有該特征的.數(shù)據(jù)包（這里說的過濾并不是禁止的意思 ，而是發(fā)現(xiàn)具有攻擊特征的數(shù)據(jù)報(bào)），過濾機(jī)制同時(shí)可以揭示出這些數(shù)據(jù)包的輸入端口，也就是揭示出轉(zhuǎn)發(fā)攻擊數(shù)據(jù)流的上一級(jí)路由器。上游路由器再重復(fù)該過程，直到找到攻擊源，如果該過程進(jìn)行到了ISP邊界，則還需要聯(lián)系上一級(jí)ISP，以完成整個(gè)跟蹤過程。

問題：該方法要求很高的人工管理量。而且，在多個(gè)ISP之間協(xié)調(diào)是件費(fèi)時(shí)費(fèi)力的工作，同時(shí)，并不能保證所有的ISP

都會(huì)愿意合作。

1．2有控制淹沒：

該方法通過將與受害者相連的每一條輸入鏈路進(jìn)行人為淹沒，并觀察攻擊數(shù)據(jù)包通訊情況的變化來檢測(cè)出攻擊的來源。

受害者使用預(yù)先生成的網(wǎng)絡(luò)拓?fù)洌�選擇最接近自己的路由器的上游鏈路中的主機(jī)，通過與這些主機(jī)合作，對(duì)路由器的每一條輸入鏈路分別進(jìn)行強(qiáng)行淹沒。因?yàn)槁酚善骶彌_的共享特性，每一個(gè)在過載鏈路上通過的數(shù)據(jù)包，其丟失的概率都會(huì)增加，當(dāng)然，這其中也包括攻擊數(shù)據(jù)包。通過觀察到達(dá)受害者的攻擊數(shù)據(jù)包速率的變化，就可以確定攻擊數(shù)據(jù)流的來源。通過一級(jí)級(jí)的使用該方法，就可以最終恢復(fù)出攻擊路由。

【拒絕服務(wù)攻擊路由反向追蹤算法綜述】相關(guān)文章：

ST7536的電力載波網(wǎng)絡(luò)的路由算法研究08-06

反向努力作文01-15

追蹤的作文09-10

個(gè)人綜述材料08-06

文獻(xiàn)綜述范文08-07

定性仿真綜述08-06

鄭觀應(yīng)研究綜述08-07

鄭觀應(yīng)研究綜述08-11

文獻(xiàn)綜述的寫法08-11