- 相關推薦
拒絕服務攻擊路由反向追蹤算法綜述
薛東
摘要: 針對拒絕服務攻擊,本文介紹了幾種發現拒絕服務攻擊路徑的反向追蹤算法。針對每一種算法給出了其相應的原理和優缺點。并在總體上,對這些算法的實現難度、效果等進行了比較。
關鍵字: 路由器 路由 反向追蹤 ICMP IP
背景
隨著互聯網絡的發展,越來越多的服務通過網絡為大眾提供,與此同時,針對互聯網服務的攻擊手段也出現了,拒絕服務攻擊,簡稱DOS,就是黑客們最常用的手段。這種攻擊行為使網絡服務器充斥大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。
拒絕服務攻擊使用‘虛假’數據包(源地址為假)來淹沒主機,從而導致其對正常用戶的服務質量下降或服務拒絕。有時黑客們為了提高攻
擊效果,會聯合多個攻擊站點一起向受害者發送攻擊數據包,這就是分布式拒絕服務攻擊(DDOS)。根據CERT(Computer Emergency Response Team)的統計,拒絕服務攻擊的發生率在近幾年有明顯的增加。2000年2月,包括yahoo在內的多家大型網站被中斷服務數小時,事后證明黑客采用的正是DDOS。
拒絕服務攻擊反向追蹤問題的難點在于攻擊數據包通常都具有不正確的.或“偽裝”的IP源地址。這些包在網路上漫游,使得我們無法找到真正的源信息。盡管IP包頭中的源地址是虛假的,但每個IP包都必須經過從攻擊方到受害者之間的路由器轉發,記錄下這些路由器,就可以恢復出攻擊所經過的路徑,這也是拒絕服務攻擊路由反向追蹤算法的基本思路。
路由反向追蹤算法
1.鏈路測試
原理:鏈路測試的思想是,從最接近受害者的路由器開始,測試其上游所有鏈路,找出是哪一個鏈路傳輸了攻擊的數據流,然后,更上一級路由器重復該過程,直到發現攻擊源。它又分為以下兩種測試方法:
1.1輸入測試:
很多路由器都提供以下的特性:允許操作員在路由器的某些輸出端口上,禁止一些特定的數據包,同時也可以檢測出某一種類型的數據包到達了哪個輸入端口,該特性可以用于路由的反向跟蹤。
首先,受害者必須確定自己遭到了攻擊,并從攻擊數據包中提取出它們共有的一些攻擊特征,然后以某種方式通知網絡操作員,網絡操作員針對該特征,在受害者的上一級路由器的輸出端口上過濾具有該特征的.數據包(這里說的過濾并不是禁止的意思 ,而是發現具有攻擊特征的數據報),過濾機制同時可以揭示出這些數據包的輸入端口,也就是揭示出轉發攻擊數據流的上一級路由器。上游路由器再重復該過程,直到找到攻擊源,如果該過程進行到了ISP邊界,則還需要聯系上一級ISP,以完成整個跟蹤過程。
問題:該方法要求很高的人工管理量。而且,在多個ISP之間協調是件費時費力的工作,同時,并不能保證所有的ISP
都會愿意合作。
1.2有控制淹沒:
該方法通過將與受害者相連的每一條輸入鏈路進行人為淹沒,并觀察攻擊數據包通訊情況的變化來檢測出攻擊的來源。
受害者使用預先生成的網絡拓撲,選擇最接近自己的路由器的上游鏈路中的主機,通過與這些主機合作,對路由器的每一條輸入鏈路分別進行強行淹沒。因為路由器緩沖的共享特性,每一個在過載鏈路上通過的數據包,其丟失的概率都會增加,當然,這其中也包括攻擊數據包。通過觀察到達受害者的攻擊數據包速率的變化,就可以確定攻擊數據流的來源。通過一級級的使用該方法,就可以最終恢復出攻擊路由。
【拒絕服務攻擊路由反向追蹤算法綜述】相關文章:
ST7536的電力載波網絡的路由算法研究08-06
反向努力作文01-15
追蹤的作文09-10
個人綜述材料08-06
文獻綜述范文08-07
定性仿真綜述08-06
鄭觀應研究綜述08-07
鄭觀應研究綜述08-11
文獻綜述的寫法08-11