IP溯源技术及其分类方法探究

1、ip溯源技术及其分类方法探究摘要：缺乏统一分类方法是影响ip溯源技术研究与应用 的重要因素，论文研究了各种ip溯源技术原理与特点，提 出按行为模式、结构构成、实现层次、实现方式、适用范围 五方面构建ip溯源技术分类方法体系，应用此方法对当前 主要ip溯源技术进行了分类。关键词：ip溯源技术；溯源技术特点；溯源技术分类 中图分类号：tp393文献标识码：a文章编号： 1009-3044 (2012) 13-3044-03ip traceback and analysis to wards a classif ica tion of mechanismslin bai-lu,yang bai-lo

2、ng, mao jing,wu peng-hui(the second artillery engineering college, xi， an 710025,china)abstract： classification of mechanisms is a key element to the research and application of ip traceback. this paper explores nature and characters of different ip traceback mechanisms, gives a classification towar

3、ds ip traceback from five different aspects： behavior, strueture, layer of actualization, mode of actualization, applicable area. moreover, this paper classifies important ip traceback mechanisms by using this classificatiori.key words： ip traceback； characters of ip traceback； classification of ip

4、traceback随着网络安全形势日益严峻，ip溯源技术(ip traceback)作为一种主动网络安全技术的地位和作用日益 突出，新的技术和手段不断涌现，但当前尚缺乏对这一新兴 技术统一、完善的分类方法，在一定程度上影响和制约了其 研究和应用，因此，对ip溯源技术分类方法的研究具有重 要意义。1 ip溯源技术ip溯源技术(ip traceback)又名追踪技术，指通过技 术手段，将内容、网络行为以及应用行为等追溯到该行为发 起者。ip溯源技术产生、发展及研究现状综述如下。首个有影响力的溯源技术是概率包标记溯源法 (probabilistic packet marking),由 savage

5、等人1在 2000年提出，原理是路由器以某种概率标记通过此路由器的 数据包，标记信息为数据包部分路径信息，受害者收到足够 数量带有标记的数据包，就能够重构出攻击路径。对数据包 进行标记、以便在受攻击后依据标记识别攻击路径这一思想 对后来的研究影响深远，belenky等人2于2003年提出了 另一包标记类经典技术一一确定包标记溯源法(deterministic packet marking),仅由边界路由器标记 ip包，受害者可获得相应入口地址和攻击源所在子网，相比 于概率包标记溯源法，此方法显得简单而高效。其他研究者 在包标记思想的基础上对标记信息和算法进行了优化，提出 了许多改进的方法，如h

6、aipeng qu等人3把每个路由器的 地址分成前后两个16bit块，分别使用hashl和hash2两个 函数处理后再和原地址分块拼接后得到4个标记向量，标记 算法和路径恢复算法都是以一定的方式处理矩阵向量，误报 率和收敛性方面好于基本标记算法；李刚等人4提出了 一 种伸缩性的包标记策略，可以通过更少的数据包更快的定位 出攻击源等。还有的研究者在标记范围上做了改变，如自治 域粒度的包标记(as packet marking),仅在包进入一个自 治域时进行标记，降低了算法的复杂度。另一影响较广的方法是日志记录溯源法(logging),原 理是在数据包的传输路途中，路由器将数据包的信息记录下 来，

7、攻击发生时，就可以凭借记录逐步查找到攻击源o snoren 等人5提出了基于摘要(hash)的ip追踪方法，记录信息 摘要，节省存储空间。基于日志记录也有许多改进算法，此 处不一一枚举。bellovin在2003年提出通知溯源法(icmp) 6,原理 是当一个数据包通过一个路由器时，该路由器可以一定的概 率同时向数据包的发送方和接收方发送带认证的icmp追踪 信息，受害主机根据与攻击数据报相关的icmp信息重构攻 击路径。指纹溯源法(thumbprint traceback) 7,又称特征 值溯源，原理是网络连接具有不同形式的特征，每个登录连 接链的特征具有唯一性，将每个登录连接链的唯一特征量

8、 化，以得到的特征值区分不同的登录连接链，其中指纹有多 种，现有的研究主要集中在传输时间指纹、内容指纹、流量 指纹、tcp序列号指纹。受控洪泛溯源法是一种针对ddos攻击的溯源法，原理 是8网管人员在受攻击设备的上游设备上向下游每个链路 发送大量的udp报文，人为制造拥塞，路由器的缓冲区是共 享的，来自负载较重的连接上的报文被丢失的概率相应较 大，通过向某个连接发送"洪泛数据”后攻击报文减少，就 可以确定该连接是否传输了攻击报文。逐跳追踪溯源法(hop-by-hop)原理是9攻击发生时, 追踪程序首先查询离受害主机最近的路由器，比较进入分组 的源地址和路由表信息，发现欺骗分组就查询上

9、游路由器， 如此反复直到最终的攻击源。通信流层水印溯源法原理是10在特定通信流中嵌入 水印信号，该信号随通信流传播到接收方后被提取出来，两 端信号进行对比以确定双方通信关系。监测中心溯源法原理是7在各自治域中部署监测中 心，以此监控网络中数据分组的传输，一旦发现攻击，受害 者所在自治域的监测中心与其他相邻的自治域的监测中心 进行询问来确定攻击分组的来源，往复这个过程最终找到攻 击源。时至今日，仍旧没有一套溯源系统真正在网络中部署运 用。国内ip溯源技术的研究仍以理论研究为主，而美国、 日本在区域范围内进行积极的实验与应用推进。ip溯源技术 研究除了在理论、算法上不断优化，还将向着更符合实际应

10、用环境的方向发展。2 ip溯源技术分类2. 1 ip溯源技术分类研究现状科学分类有利于新技术学习、研究和应用，然而由于ip 溯源技术尚处于研究探讨阶段，尽管有研究者把溯源技术按 性能指标分类，性能好坏却难以给出一个判定标准，有的研 究者仅按照理论上的功能进行分类，缺乏与实际应用的结 合。总体来说，现有的分类方法都存在不够全面、覆盖面窄、 缺乏对实践指导等问题，至今尚未形成较统一的分类方法体 系。2.2 ip溯源技术分类方法通过对不同溯源技术原理和特点的研究，该文提出按溯 源的行为模式、结构构成、实现层次、实现方式、适用范围 五个方面构建ip溯源技术分类体系。(1) 按溯源行为模式分类按溯源行为

11、模式，可将ip溯源技术分为前摄溯源和反 应溯源，仇小锋等人9的论文中就采用了这种分类方法。 前摄溯源是在分组传输过程中记录溯源所需的信息，需要进 行溯源时，参考先前记录的信息即可标识出攻击源。反应溯 源是在检测到攻击之后才开始溯源行为，这类方法往往从攻 击路径的终点开始，沿实际攻击路径的相反方向回溯到攻击 源。前摄溯源的优点是主动记录，不易受到攻击者的实时影 响，缺点是非攻击发生期间还要消耗网络资源，增加管理成 本；反应溯源的优点是节省资源，但无法满足事后追踪需求, 且易受攻击者伪装的误导。(2) 按溯源结构构成分类按溯源结构构成，可将ip溯源技术分为分布式溯源和 集中式溯源。集中式溯源原理较

12、为简单，实现较为容易，但 溯源模块一旦遭遇攻击瘫痪，溯源就无法实现，且稳定性和 鲁棒性不强；分布式溯源较为稳定和安全，但它较为复杂， 且有同步和响应协调的问题。(3) 按溯源实现层次分类按实现层次，可将ip溯源技术分为通信流层溯源技术、 协议层溯源技术和应用层溯源技术。通信流层溯源技术对通 信流进行改动；协议层溯源技术需要改变现有协议和报文结 构；应用层溯源技术不需要改变通信流和协议，主要靠程序 实现，也可能需要改变路由器功能。就现有网络环境，应用 层的溯源技术较易部署。（4）按溯源实现方式分类按溯源实现方式，可将ip溯源技术分为主动询问类、 数据监测类、路径重构类、特征比对类。陈周国等人11

13、率 先使用了这种分类方法，但其分类中未包括特征比对类溯 源。主动询问类溯源法通过主动询问数据流可能经过的所有 路由器，确认其流向路径的机制；数据监测类溯源法通过对 数据包及流量进行监测来发现攻击并查找攻击源；路径重构 类溯源法是通过在网络中传输的数据包中编入路径信息或 者单独发送含有路径信息的数据包，接收端通过收集这些包 含路径信息的数据包，并根据一定的路径重构算法实现重构 攻击数据包路径的目的；特征比对类溯源法通过对不同连接 链特征的比对来确定攻击源。（5）按溯源适用范围分类按溯源技术的适用范围，可将ip溯源技术分为适于自 治域级（as级）、跨区域级、全网络级的溯源技术。每种ip 溯源技术在

14、其被提出时基本都被期望适用于整个网络，然而 这并不现实，因为溯源方法本身的区别，使得不同的溯源技 术适用范围有所不同。例如高准确度、高效的溯源技术往往 伴随着巨大的网络开销，相对较适合区域网络，避免跨越网 络提供商，避免造成全网拥塞。本方法从不同溯源技术本质、特性出发，五个分类方法 组成一个分类体系，每个分类角度中的不同类别都各具特 点，便于从不同角度对溯源技术进一步研究，也便于实际应 用和部署时对具体技术路线进行分析和选择。2. 3分类结果运用此分类方法体系对当前主要ip溯源技术进行清晰、 科学的分类。表1列出了分类结果。3结束语ip溯源技术及其分类均是当前网络安全技术研究热点， 随着研究和

15、应用的深入，新的溯源技术将不断涌现，其分类 方法也将在研究和实践中不断得到完善。参考文献：1 savage s, wethheralld, karlin a,et al.practical network support forip tracebackj. acmsigcomm computer communicationreview, 2000,30(4)：295-306.nirwan. ip tracebackmarkingj. ieee2 belenky andrey, ansariwithdeterministicpacketcommunications letters, 2003,

16、7(4):162-164.3 haipeng qu,dequan li. an ip traceback scheme with packet marking in blocksjjournal of computer research and development, 2005, 42(12):2084-2092.4 李刚，黄旭，张健沛基于自适应包标记的ip源追踪 方案j微计算机信息,2010, 26(12-3)： 3-5.5 snoren a c, partridge c, sanchez l a. hash-based ip tracebackc /proc of conference

17、on application, technologies, architectures, and protocols for computer communications. new york： acm, 2001:314.6 bellovin s, leech m, lor t t. icmp traceback messages eb/0l, 2003 (8)7 陈剑勇，滕志猛，郑水金.ip溯源技术及其标准化j. 通信技术与标准，2007, 16.8 陈光华分布式拒绝服务攻击及ip溯源技术探析j. 数字技术与应用，2010(8):158-159.9 仇小锋，陈鸣.ip溯源技术j电子测量与仪器学 报,2004, 18(