知识产权追踪技术

IP跟踪技术第28期VO1。 28号22号 22 计算机工程与设计 计算机工程与设计 2007 年 11 月 11 日。 2007 IP Tracking Technology 杨倩，黄林，林忠（华北计算技术研究所，北京100083） 摘要：拒绝服务攻击（DoS）严重威胁着网络安全。 IP跟踪技术可以跟踪攻击数据包的来源，识别和防止DoS攻击，是保护网络安全的重要技术。 通过总结IP跟踪技术，回顾IP跟踪的起源，根据主动和被动进行分类，分析各种IP跟踪方式的基本原理、优缺点，指出IP跟踪技术存在的问题，期待IP跟踪的未来。 发表关键词：IP trace； 主动跟踪； 反应痕迹； 包标记； packet log CLC number: TP301 Document identification code: A North China Institute of Computing Technology, Beijing 100083, China) 摘要：拒绝服务（DoS）严重威胁网络安全~IP回溯技术可以追踪sol J2”ceof攻击包、识别和防范攻击，是网络安全的一项重要技术。

IP traceback 方法被总结，originofPtraceback 被审查。 根据被动性和主动性，对这些技术进行了比较和分类，分析了这几种方法的基本原理和优缺点，指出了存在的问题，对flPtraceback技术的发展进行了展望。 关键词：IPtraceback;proactivetracing;reactivetracing;packetmarking;packetlogging计算机网络在当今社会中扮演着越来越重要的角色，对网络的攻击也越来越严重，其中拒绝服务（DoS）攻击最为显着，造成严重的经济损失和社会影响。 DoS攻击和DDoS（分布式DoS）攻击是网络攻击中一种简单有效的攻击方式。 为了达到攻击目标并隐藏身份和位置信息的目的，攻击者往往会使用伪造的IP地址作为数据包的源IP地址。 向目标主机发送海量服务请求，消耗目标主机的系统资源，占用其网络带宽，导致目标主机的网络和CPU系统资源耗尽，从而停止服务，甚至导致系统死机碰撞。 防范和追踪攻击者极其困难。

拒绝服务攻击者不需要从主机接收数据包，因此他们总是可以隐藏自己的真实 IP 地址。 DDoS是指大量攻击主机同时对受害者发起拒绝服务攻击，其攻击强度远大于DoS，且由于攻击者的分布式特性，更难被攻击防止和消除此类攻击。 IP Tracing的目的是识别产生攻击包的主机的真实IP地址。 通常，可以通过检测IP数据包的源IP地址来实现。 但是，由于广泛使用的网络协议TCP~P存在安全漏洞，IP地址可以通过软件设置，发送方很容易伪造地址，隐藏自己的身份。 . IP跟踪技术（通过网络路由跟踪IP数据包）可以识别攻击主机的真实IP地址，还可以获得发起攻击的组织的名称、网络管理员E等信息。 邮件地址等 IP数据包在Internet上传输过程中，IP协议头的某些字段可能会被中间设备修改，如TTL、校验和、分片、IP选项等。 最终受害主机收到的数据包和攻击者发送出去的攻击数据包可能差别很大，因此IP追踪必须能够追踪到数据包的路由信息​​，使得IP tracing 不受接收到的数据包的限制。 要在系统中实施 IP 跟踪，网络管理员必须将现有路由器上的固件更新为支持跟踪的版本，或者在网络中的某处配置特殊的跟踪设备。

本文简要介绍了问题产生的背景，对目前的IP跟踪技术进行了分类，介绍并分析了主要技术原理，列举了IP跟踪面临的问题，最后对IP跟踪技术的发展进行了展望。 1 IP跟踪研究现状 1.1主动分类 根据IP跟踪的主动性和被动性，现有的IP跟踪技术可分为主动跟踪和被动跟踪两类。 (1) Proactive Tracking：记录数据包传输过程中跟踪所需的信息。 2006-12-03E-marl：yqbjtu@163。 com武器装备“十五”预研基金项目。 杨倩（1982年出生），男，陕西兴平人，硕士研究生，研究方向为信息安全； 黄林（1984年生于福建漳州，硕士研究生，研究方向临中（1960），男，福建龙岩人，硕士，研究员，研究方向信息安全。5367--需要溯源时，参考通过这些记录的信息来识别攻击的来源，主动追踪可以在受害者发现攻击时追踪到攻击的发起者，可以防止DDoS攻击的进一步加剧，而且不需要分布式拒绝服务攻击必须持续到回溯过程结束。主动IP跟踪技术主要包括：基于ICMP的跟踪、数据包标记跟踪、日志记录分析跟踪、标记与日志结合跟踪和中心跟踪等。 (2) 反应跟踪：后检测到攻击，利用各种技术从攻击目标追溯到攻击源。

反应追踪必须在攻击进行时进行，否则一旦攻击停止，反应追踪技术就会失效。 反应跟踪的关键问题是开发有效的回溯算法和群体匹配技术。 反应追踪技术包括：入口过滤和链路测试。 1.2 Proactive Tracing (1) 基于ICMP Tracing： Bellovin领导的ICMP协议扩展组提出利用ICMP协议实现攻击路径追踪。 此方法主要依赖于路由器本身生成的 ICMP 跟踪消息。 每个路由器以极低的概率（例如：1/200ooo）产生一条ICMP报文，并将ICMP报文与数据包一起发送到目的组，如图1所示。该ICMP报文包含路由信息。 当洪水攻击开始时，受害主机可以使用这些 ICMP 消息来重建攻击者的路径。 这种方法有很多优点，但也有一些缺点。 例如：ICMP 可能会从正常流量中过滤掉。 同时，该方法还必须处理攻击者可能发送的伪造的ICMPTraceback消息。 IP数据包ICMP发包源路由器目标使用ICMP跟踪（2）数据包标记跟踪：当IP数据包经过路由器时，每个路由器在数据包中标记一些信息（通常这些信息包括路由器的地址，到路由器的距离） victim 等），当受害者收到大量此类带标记的报文时，可以提取和分析带标记的信息，重构攻击路径，确定攻击源。

报文标记技术一般包括标记和路径重构两个过程，如图所示。 标记过程由路由器完成，主要是在数据包中添加信息。 重建路径的过程由受害者完成，受害者利用标记数据包中的信息重建攻击路径。 Router 3 packet marking l4 target data packet marking技术人工管理量极低，可以准确定位DDoS的多个攻击源，并且具备攻击完成后追溯的能力。 数据包标记有两种：路由器对每一个由它转发的IP包进行标记，称为确定性包标记（deterministicpacketmarking，DPM）； 从n个数据包中选择一个IP数据包进行标记称为5368——概率数据包标记（probabilistic packet marking，PPM）。确定数据包标记DPM要求每个数据包必须有足够的空间来存储它经过的所有路由器的标记信息，这会带来非常大的空间负担，即使有足够的数据添加到每个数据包中，也会对路由器造成太大的负担，目前的DPM算法主要有：节点增加算法、节点采样算法和边界采样算法。概率包标记 PPM按照一定的概率标记对数据包进行处理，大大降低了路由器的计算量。比较成熟的PPM算法有基于分片的PPM算法、基于Hash编码的PPM算法、PPM算法基于代数编码。

PPM算法还有很多问题，比如PPM算法必须有足够多的攻击包来重构攻击路径。 另外，目前的PPM算法一般会将标签信息存储在IP头的标签字段中。 由于IPv6没有这个字段，必然会造成向后兼容的问题。 (3)日志记录分析和跟踪：日志记录分析是将重要路由器上的所有上行链路数据包记录下来，并将这些日志信息保存在路由器中。 在攻击发生的同时或之后，受害者利用提取的攻击包的一些共同特征与路由器中保存的日志信息进行比较，逐步恢复攻击包所经过的路由器，最终找到攻击源头，如图3所示。会大大增加网络负担。 针对存储数据包本身内容过大，产生基于哈希方法的数据包日志IP跟踪。 路由器计算并存储它转发的每个数据包的信息摘要。 此方法可以跟踪单个数据包到数据包的来源。 回溯时数据包摘要的存储空间和数据包日志访问时间限制了该算法在高速连接路由器中的实现。 数据包标记和日志记录分析方法各有优缺点，因此提出结合标记和数据包日志记录技术的优点，开发一种可以跟踪单个数据包的跟踪方法，同时减少存储空间和访问时间借助数据包标记技术，这是标记和日志记录的结​​合”。

在这种方法中，每个具有跟踪功能的路由器都可以同时执行数据包标记和数据包日志记录。 标记操作是用路由器信息标记数据包，记录操作时记录数据包摘要和标记。 记录操作不仅记录了当前路由器，还记录了前一个数据包经过的路由器。 为了记录数据包的路径，并不是数据包经过的所有路由器都需要记录数据包，只要能从路由器的日志信息中推导出整个网络路径即可。 这种方法将路由器的存储负担降低了一半左右，减少了记录包的访问时间。 对于到达的每个数据包，路由器执行标记操作，并且只在需要时执行日志记录操作。 包摘要以散列方式存储，节省存储空间，因此可以忽略对标签的存储要求。 1-3 响应跟踪 (1) 入口过滤：应对匿名攻击的方法是消除伪造源地址的能力。 这种方法通常是入口过滤。 其原理是通过配置路由器来防止非法源地址报文通过。 这就必然要求路由器有足够的能力分析每个数据包的源地址，有足够的能力区分非法源地址和合法源地址。 因此，入口过滤在ISP的边缘或客户网络中发挥更重要的作用，处理的数据包更具体，流量负载相对较低。 如果数据包来自多个 ISP，则没有足够的信息来明确确定数据包是否具有“合法”源地址。 分析数据报源地址的任务对于高速路由器来说计算量太大，而且对于许多路由器架构而言，实现入口过滤对于高速连接来说太不切实际。

入口过滤的主要问题是它的有效性取决于大范围或整体配置。 不幸的是，主要的 ISP，也许是绝大多数，不提供此类服务。 第二个问题是，即使在客户和 ISP 之间广泛使用入口过滤机制，攻击者仍然可以在客户网络中伪造成百上千个地址。 (2) 链级测试：大多数跟踪技术都是从距离受害者最近的路由器开始，然后逐一检查上游路由器，看是谁转发了攻击包，直到找到攻击流量的来源，如图4. 理想情况下，这个过程可以递归执行，直到找到攻击源。 这种技术假设攻击在跟踪完成之前一直保持活跃状态​​，因此很难在攻击结束后跟踪、间歇性攻击或跟踪进行中的攻击调整。 此外，如果有多个分布式攻击位置，链级测试将变得低效，因为来自单一攻击源的攻击流可能对攻击的贡献很小，导致攻击没有得到显着抑制。 链级测试包括以下两种类型：输入测试和受控泛洪。 输入测试要求受害者在检测到自己受到攻击后，从收到的攻击包中提取一些共同的特征，然后通过一定的方式通知网络管理员。 网络管理员根据这些共同特征，在受害者之前路由器的输出端口过滤具有该特征的数据包，同时找到转发这些数据包的上游链路，从而找到上层路由器。 上层路由器重复该过程，直到找到攻击源。

由于需要网络管理员的介入，整个方法具有相当大的人工管理量。 一些国外的ISP联合开发了可以在他们的网络中自动跟踪的工具，但是这种方法最大的问题是管理成本。 此外，多个 ISP 之间的联系和协调既费时又费力。 Controlled flooding，这种技术实际上是一种反向泛洪攻击比特币追踪ip，通过观察上游路由器的状态来判断攻击路径。 其基本思想是人为地添加UDP流量来泛洪路由器的每条上游链路。 由于路由器缓冲区是共享的，在过载链路上传输的每个数据包的丢失概率将大大增加，这也包括攻击包。 通过观察下一跳路由器收到的攻击包速率的变化，可以找到上层攻击数据流的来源。 并且通过一次次的迭代，最终可以还原出整个攻击路径。 这种方法非常新颖，最大的优点是实现起来比较简单实用，但也有一些缺点和局限性。 最大的缺点是这种方法本身就是一种拒绝服务攻击，它会DOS一些信任路径。 缺点在实践中也难以实施。 同时要求有一张几乎覆盖整个网络的拓扑图。 受控泛洪很难分离多个上游攻击链路，因此其对DDoS攻击的溯源能力极为有限。 并且这种方法只有在持续攻击的情况下才有效。

2IP跟踪面临的问题从前面的介绍可以发现，每种跟踪方法都不是很完善，仅用一种方法来应对DoS或DDoS攻击是不够的。 任何单一的方法都不能解决所有的跟踪问题比特币追踪ip，精明的攻击者可能会利用算法的缺陷采取相应的对策。 因此，可以考虑将多种跟踪方法结合起来，以获得更好的跟踪效果。 表1是现有几种跟踪技术的对比图。 表1 IP跟踪技术比较 是否需要支持快速兼容网络 Router支持跟踪技术 ISP支持speed Attack tracking overhead Overhead DDOS攻击 ICMP。 Based 不需要支持 good general low 支持 Marking 不需要支持 difference low low 支持 logging 不需要支持 good low high 支持 Marking 不需要支持 difference low high 支持&l oggJng Centertrack 需要 N{good low 一般支持 Ingress needs N}good low one FilteringInput Need not support good low high 不支持 Debugging Controlled-need not support good high low not support FInnding 理想情况下，lP trace应该能够找到攻击主机。 想要通过防火墙进入企业内网其实是非常困难的。 最后跟踪的地址可能是防火墙地址，即公司网络的入口点。 一旦确定了组织，该组织就可以识别其中发起攻击的用户。

即使IP追踪找到了攻击源，这个攻击源也有可能成为攻击的跳板。 IP追踪无法识别跳板背后的最终攻击源。 另一个问题是跟踪系统的配置。 大多数跟踪技术需要对网络进行某些更改，包括添加路由器功能和更改数据包。 为了促进跟踪技术的应用，在实施过程中应减少这些要求，并尽可能与现有网络兼容。 在 IP 跟踪技术能够被广泛使用之前，有一些操作问题需要解决。 要通过不同的网络进行跟踪，应该有一个共同的跟踪策略。 还应该有一些政策来指导跟踪结果的处理，以保护隐私。 未来IDS（Intrusion Detection System）与IP跟踪系统的联动将是重点。 在广泛使用IP跟踪技术之前，需要解决一些问题：即使IP跟踪技术找到了攻击源主机，那台主机很可能只是攻击的代理机器。 IP跟踪方法无法识别背后真正的攻击源，是亟待解决的问题。 要跟踪跨不同网络的数据包，必须有一个通用的跟踪策略。 并且需要一些规则来处理跟踪结果以避免侵犯隐私。 需要考虑如何使用 IP 跟踪来跟踪已识别的攻击源信息。 可能还需要评估 IDS 和 IP 跟踪系统获得的结果的正确性。 结束语 目前，主动跟踪技术已经成为IP跟踪技术研究的主流方向。 IP跟踪技术起源于网络安全，随着网络安全的发展而发展。

无线网络、自组织网络、传感器网络等一些新兴网络技术的出现，必然会推动IP跟踪技术的发展。 5369——要在整个互联网上应用IP跟踪技术，需要政府、ISP、用户、路由器制造商和研究机构共同努力，达成共识。 相信随着相关技术的发展，IP tracking将会得到广泛应用。 参考文献：[1] Chao Gong，Kamil Sarac。 基于包标记和日志记录的IP~eback[C]． 韩国首尔：ICC，2005。[2] Andrey Belenky。 尼尔万·安萨里。 使用确定性数据包标记 (DPM) [C] 跟踪多个攻击者。 韩国首尔：ICC，2005。[3] Lee T, Wu W, Huang W. IP 回溯的可扩展数据包消化方案 [C]。 法国巴黎：ICC，2004。[4] SnoerenA、PartridgeC、SanchezL。 单包IP回溯[J].

IEEE/ACM 网络交易，2002 年，10(3):721-734。 [5] 亚历克斯·CSnoeren，克雷格·帕特里奇。 基于散列的 IP 回溯 [C]. 美国圣地亚哥：SIGCOMM，2001 年。 [6] Belenky N, Ansari。 IP traceback with deterministic packet marking[J]. IEEE 通讯快报，2003 年，17(4):162-164。 [7] 李德全，许一丁，苏普瑞，等． IP 跟踪中的自适应数据包标记[J]。 电子学，2004 年，32(8):250–258。 [8] 段珊珊，左铭． 一种新的确定性包标记IP跟踪算法研究[J]． 计算机应用与软件, 2005, 22(4):102-104. [9]涂鹏，景一南，付振勇，等． 基于反向节点标记的攻击溯源方法[J]． 计算机工程与设计, 2006, 27(18): 3314-3317. [1O] 李毅超, 王宇, 夏梦琴, 等． 伪装IP跟踪技术综述[J]_计算机科学,2003,3O(5):145-149. [11] 邱晓峰，陈明．

IP溯源技术[J]. 电子测量与仪器, 2004, l8(1): 88-91. [12] 张震． 网络攻击跟踪方法分析及系统模型建立[J]. 数据通讯, 2004, 24(3):20-24. [13] 姚娟，赵尔敦，曾庆江． 伪造路径下PPM算法IP跟踪性能研究[J]. 计算机工程与应用, 2005, 15(18):169-171. [14] 熊国华，王义刚． 基于数据包采样和标记的IP跟踪技术研究与改进[J]． 东华大学(自然科学版), 2004, 30(2):5-8. [15] 任伟． 分布式网络入侵取证跟踪系统的设计与研究[J]_网络安全技术与应用,2005,4(5):29-31. [16] 冉小玉． 网络安全与IP跟踪[J]_网络安全技术与应用,2003, 2(2):6O-62. [17] 梁国臣，高锡伟． 移动IP环境下IP跟踪研究[J]_计算机工程,2006,32(6):176—177. [18] 杰舍，孙乐昌． 非固定概率包标记的IP追踪研究[J]． 计算机工程与应用, 2006, 42(31): 14l-144. [19]左羽． 网络跟踪技术研究[J]_重庆理工大学,2006,20(5):lll—ll4.

[2O] 严乔，夏树涛． 吴建平。 改进的压缩边段采样算法[J]． 西安电子科技大学, 2006,33(5):824-828. [21] 梁峰, 赵新建, 丘大卫． 基于自适应随机数据包标记的实时 IP 回溯[J]。 软件，2006 年，l4(5):1005–1010。 [22] 徐明涛, 卢松年, 杨树堂． IP返回跟踪DoS攻击的三种包标记算法[J]． 计算机应用研究, 2004, 27(3): 235-236. [23] 刘宁顺，陈建尔，王建新． 对抗DDoS的IPTraceBack技术[J]. 信息网络安全, 2003, 2(11): 48-49. （上接5366号（1）TLS无法在UDP上运行的解决方案中可能出现的问题。对于SIP服务器来说，同时维护大量的TLS连接比较繁重，带来了扩展性问题。另外，还要考虑TLS的防火墙穿越问题，防火墙必须支持TLS加密的SIP。（2）网络层的IPSec在网络实现上比较复杂，存在扩展性问题，IPSec通道不实用。 (3) S/MIME最大的缺陷是缺乏有效的PKI公钥基础设施。

如果用户使用的是自签名的信任证书，或者信任证书在对话中无法被对方验证，那么基于SIP的密钥交换机制就非常容易受到中间人攻击。 然而，这种攻击只在第一次交换密钥时有效。 因此，只要改变一次密钥，攻击者就很难窃听双方以后的对话。 但这一次攻击同样具有破坏性。 另一个缺陷是加密，尤其是使用TunnelingSIP时，会产生很长的消息。 此时虽然使用了TCP作为传输层协议，但是在网络利用率方面还是不够理想。 结束语 随着以软交换为核心的下一代网络技术的不断发展，SIP协议的地位越来越重要。 为了保证SIP协议在多媒体等业务中的安全应用，本文分析了SIP安全的特点，着重研究了SIP信令安全和媒体安全问题，列出了SIP协议的安全机制，并用于在实际模型中。 但是，每种安全机制都存在不同程度的缺点和局限性。 下一步将根据不足之处对原型系统进行改进和验证。 参考文献： [1] 周海华，卞恩炯． 下一代网络SIP原理与应用[M]． 北京：机械工业出版社，2006：36-37． [2] 刘华，王坤． 基于PKI的SIP协议安全研究[J]_电子技术,2005.

19(2):37-4O。 [3] 楚泰山，潘学增． SIP安全模型的研究与实现[J]_计算机应用与软件,2004,2l(12):lOl—lo4． [4]娄影． SIP协议安全机制研究[J]_广东通信技术,2004,24(4):5-8. [5] 何平,姜亚军． SIP应用的安全研究[J]． 微型计算机应用, 2005, 26(5):552–555。 [6] 王元利, 严健． 基于S/MIME的SIP安全机制[J]． 信息安全与通信隐私, 2005,(5):40-42. [7] 韩敏, 陈新梦, 张启辉． 基于SIP协议的网络安全分析[J]． 计算机工程与设计。 2004, 25(3):386–389。 [8] 张茂尧． 软交换技术[J]_计算机工程与设计,2004,25(7):l146