網(wǎng)絡(luò)攻擊中的源地址問題

網(wǎng)絡(luò)攻擊中的源地址問題

1偽造源地址及其攻擊隨著互聯(lián)網(wǎng)應(yīng)用環(huán)境的變化，互聯(lián)網(wǎng)技術(shù)的缺點(diǎn)逐漸暴露出來。這不是一個(gè)重要問題。確保源地址的真實(shí)性是一個(gè)重要問題?；ヂ?lián)網(wǎng)之初主要用于學(xué)術(shù)目的,當(dāng)時(shí)假設(shè)網(wǎng)絡(luò)中的所有設(shè)備都是可信任的,因此報(bào)文在轉(zhuǎn)發(fā)過程中沒有認(rèn)證源地址的真實(shí)性。而在當(dāng)前復(fù)雜的互聯(lián)網(wǎng)環(huán)境下,這種網(wǎng)絡(luò)設(shè)備普遍可信的情況早已不復(fù)存在,與之相反,每一臺設(shè)備都可能偽造其源地址來達(dá)成特殊目的。當(dāng)今,通過偽造源地址來輔助發(fā)起網(wǎng)絡(luò)攻擊的行為十分頻繁。據(jù)統(tǒng)計(jì),一周內(nèi)借助偽造源地址發(fā)起的DoS攻擊至少有4000起。因此,保證報(bào)文中源地址的真實(shí)性成為當(dāng)前急需解決的問題。2偽造源地址和實(shí)際地址的定義為了在互聯(lián)網(wǎng)中進(jìn)行正常的通信,報(bào)文的發(fā)送方必須在發(fā)送的報(bào)文的源地址字段填寫分配給發(fā)送方的真實(shí)IP地址3對互聯(lián)網(wǎng)的危害并不是所有的偽造源地址行為都能夠構(gòu)成攻擊。單純的、不以攻擊為目的的偽造源地址行為對互聯(lián)網(wǎng)的危害是很微小的,但是偽造源地址被用來發(fā)起攻擊,則有可能產(chǎn)生巨大的危害。確定偽造源地址的攻擊類型有助于更加清晰地了解真實(shí)地址問題。按照攻擊者偽造地址的不同和受害者的不同,可以將偽造源地址攻擊分為以下3類。(1)偽造隨機(jī)源地址，受害者接收報(bào)告攻擊者通過偽造源地址的方式大量占用受害者的預(yù)留資源,使受害者無法正常為其他用戶提供服務(wù),稱為DoSDDoS(2)構(gòu)造特定的攻擊內(nèi)容攻擊者通過偽造具有特定源地址的報(bào)文,使受害者接收某些虛假信息。在互聯(lián)網(wǎng)中一些機(jī)制將報(bào)文的源地址作為認(rèn)證的惟一手段,只要攻擊者在網(wǎng)絡(luò)中插入精心設(shè)計(jì)的報(bào)文,在沒有安全保護(hù)策略的情況下,這些報(bào)文都有可能被接收端相信,而做出攻擊者希望的響應(yīng)。攻擊者對被攻擊者的回復(fù)報(bào)文可能是可見的,也可能是不可見的,但是攻擊者可以猜測出回復(fù)的內(nèi)容。最典型的攻擊方式是中間人攻擊攻擊者一般會(huì)偽造網(wǎng)絡(luò)中重要設(shè)備的通信報(bào)文,例如關(guān)鍵路由器路由更新、DNS服務(wù)器的信息交換、郵件服務(wù)器交換的電子郵件等,然后向其他設(shè)備散布符合自己目的的虛假信息。偽造路由信息造成路由轉(zhuǎn)向是一種常見的攻擊方式,參考文獻(xiàn)[7]描述了在路由器之間散布虛假路由的情況。(3)偽造特定的源地址,受害者是被偽造者DrDoS此外,由于IP地址在互聯(lián)網(wǎng)絡(luò)是設(shè)備和用戶身份的象征,因此攻擊者可以通過偽造受害者的IP地址在網(wǎng)絡(luò)中進(jìn)行一些不法行為,例如搶占帶寬、攻擊某些設(shè)備等,一旦這些行為觸及運(yùn)營商或其他服務(wù)提供商的管理規(guī)則,則有可能導(dǎo)致受害者的利益或者名譽(yù)受損。4偽造地址開墾試驗(yàn)技術(shù)4.1實(shí)現(xiàn)計(jì)劃偽造源地址防御方案(即真實(shí)地址問題解決方案)按照工作方式的不同可以分為路徑上過濾、端到端和Traceback3類。4.1.1其他防護(hù)手段顧名思義,路徑上過濾就是對偽造源地址的報(bào)文的檢查和過濾發(fā)生在報(bào)文傳播的路徑上,也就是在偽造源地址的報(bào)文到達(dá)目的地之前過濾掉這些報(bào)文。路徑的中間節(jié)點(diǎn)具有檢查報(bào)文真實(shí)性的能力,不過對報(bào)文的過濾也可能發(fā)生在報(bào)文的接收端。中間節(jié)點(diǎn)具有檢查能力是路徑上過濾方案與端到端方案的不同之處。由于可以在報(bào)文的傳播路徑上進(jìn)行過濾,因此這類方案可以在偽造報(bào)文到達(dá)受害者之前將其清除,使受害者完全或者很大程度上避免接觸攻擊報(bào)文,具有非常好的保護(hù)效果,尤其對DoS攻擊具有很好的防御作用。但是,由于使用了與路徑相關(guān)的信息,因此在路由不穩(wěn)定的情況下可能會(huì)將正確的報(bào)文丟棄。這類方案的典型代表有IngressFilteringIngressFiltering部署在兩個(gè)網(wǎng)絡(luò)連接處的路由器或者防火墻中,由該路由器或者防火墻負(fù)責(zé)檢查來自這個(gè)網(wǎng)絡(luò)的報(bào)文的源地址是否屬于這個(gè)網(wǎng)絡(luò)。如圖1所示,路由器只允許向外轉(zhuǎn)發(fā)地址前綴是202.112.68.*的報(bào)文,對于其他源地址的報(bào)文將丟棄。RFC2827給出了IngressFiltering的定義,并規(guī)定被檢查的網(wǎng)絡(luò)限定為ISP的接入網(wǎng)絡(luò)。RFC3704給出了IngressFiltering的5種實(shí)現(xiàn)方式,其中包括手動(dòng)和自動(dòng)配置方式以及滿足Multi-homing和非對稱路由情況的實(shí)現(xiàn)方式。IngressFiltering的自動(dòng)配置主要利用了路由轉(zhuǎn)發(fā)的uRPFIngressFiltering是最有效且輕量的過濾方案,它可以使所有偽造源地址的報(bào)文不能離開攻擊者所屬的子網(wǎng),而且只需要使用路由器中最基本的數(shù)據(jù)結(jié)構(gòu)。如果所有的接入網(wǎng)絡(luò)都部署IngressFiltering,那么偽造源地址的攻擊就不可能被發(fā)起。普遍認(rèn)為IngressFiltering是一種“自律性”的真實(shí)地址方案,而不是防御性方案。按照RFC2827給出的方式部署,它將無法防范任何來自外界的偽造源地址的攻擊,只是可以制止內(nèi)部網(wǎng)絡(luò)發(fā)起這類攻擊。對于網(wǎng)絡(luò)運(yùn)營商而言,這樣部署IngressFiltering是沒有任何好處的,因而沒有被廣泛采用。但是,認(rèn)為IngressFiltering完全沒有防御能力是一種錯(cuò)誤的認(rèn)識。IngressFiltering只能部署在接入子網(wǎng)與ISP的連接處的限制是不必要的,ISP網(wǎng)絡(luò)與ISP網(wǎng)絡(luò)之間的連接處也可以部署IngressFiltering,只是配置更加復(fù)雜。當(dāng)一個(gè)ISP使用IngressFiltering來處理來自另一個(gè)ISP的報(bào)文時(shí),它將得到一定的保護(hù)。但是,ISP地址分配和路由選擇的復(fù)雜性,使IngressFiltering的實(shí)用性受到限制。DPF根據(jù)路由信息和網(wǎng)絡(luò)拓?fù)湫畔砼袛嗟竭_(dá)一個(gè)路由器的報(bào)文是否擁有合法的地址,因?yàn)閺哪硞€(gè)源地址去往某個(gè)目的地址的報(bào)文到達(dá)該路由器經(jīng)過的鏈路是一定的。如圖2所示,A事先知道來自于B的報(bào)文只會(huì)從固定的接口到達(dá),D偽造的B報(bào)文被發(fā)現(xiàn)從另外一個(gè)接口到達(dá),A根據(jù)源地址和接口的對應(yīng)關(guān)系過濾掉D的偽造報(bào)文。DPF也是一種輕量方案,過濾報(bào)文增加的負(fù)荷接近于一次或兩次路由查找的負(fù)荷。單個(gè)路由器部署DPF,過濾效果有限,因?yàn)橐粋€(gè)路由器只和較少的鏈路相連。如果DPF被廣泛部署,過濾作用將很明顯。如果18%的網(wǎng)絡(luò)部署DPF,則可以減少90%的偽造源地址攻擊報(bào)文。DPF主要的缺點(diǎn)是無法處理攻擊者偽造同一反向路徑上的其他主機(jī)地址的行為。在這個(gè)反向路徑特別巨大的情況下,DPF的過濾能力就會(huì)十分弱。DPF需要的報(bào)文到達(dá)本地的鏈路信息從現(xiàn)有路由器中是無法獲取的。在對稱路由情況下,uRPF特性可以被用來獲取這些信息;在非對稱路由情況下,只能通過輔助的協(xié)議來獲取這些信息。BGPRouteSelectionNoticeSAVE是一種在自治域的邊界路由器上建立到達(dá)本地的報(bào)文源地址和接口對應(yīng)關(guān)系的協(xié)議。在SAVE協(xié)議中,邊界路由器之間相互交換路由表信息,并將收到的路由信息映射到接收到這個(gè)信息的接口,以獲取正確的源地址—接口對應(yīng)表。SAVE協(xié)議面對的是非對稱路由下的需求,事實(shí)上可以作為DPF在非對稱路由下的輔助協(xié)議。SAVE較好地解決了非對稱路由下的偽造源地址過濾問題,但是它依然無法解決在攻擊者偽造同一反向路徑上源地址問題。SAVE存在的另一個(gè)問題是,參與協(xié)議的路由器必須進(jìn)行大量的、可認(rèn)證的數(shù)據(jù)交換,不但復(fù)雜性比較高,而且這個(gè)過程可能成為DoS攻擊的對象。SAVE協(xié)議需要全局部署之后才能發(fā)揮作用,因?yàn)樵谌植渴鹬?源地址—接口對應(yīng)表并不說明某個(gè)接口只能收到相應(yīng)源地址的報(bào)文,而只是說明這個(gè)接口可能收到來自這些源地址的報(bào)文,即這個(gè)表不能用來過濾。不能增量部署限制了它的推廣應(yīng)用。Passports是一種在報(bào)文中添加報(bào)文所需要經(jīng)過的全部自治域要檢查的簽名的方法。如圖3所示,當(dāng)自治域AS1的主機(jī)向自治域AS4的主機(jī)發(fā)送報(bào)文時(shí),在AS1的出口網(wǎng)關(guān)處,報(bào)文被添加上路徑中自治域AS2、AS3、AS4各自所需要檢查的簽名,在這個(gè)報(bào)文所路經(jīng)的自治域邊界處,相應(yīng)的簽名的正確性都會(huì)被檢查,一旦發(fā)現(xiàn)對應(yīng)的簽名不正確或者不存在,則認(rèn)為是偽造源地址的報(bào)文而被丟棄。Passports與其他路徑上過濾方案相比,最大的特點(diǎn)是使用了密碼學(xué)手段來認(rèn)證源地址的真實(shí)性;而與其他使用密碼學(xué)手段的方法相比,例如IPSec,最大的優(yōu)點(diǎn)在于可以將偽造流量在到達(dá)受害者之前過濾掉。Passports最大的缺點(diǎn)是在報(bào)文中增加了過多的負(fù)荷。每一個(gè)用于認(rèn)證的簽名的長度達(dá)64位,如果報(bào)文需要通過多個(gè)自治域,整個(gè)簽名部分的長度非常長,而且對這些簽名驗(yàn)證的代價(jià)也會(huì)增加。HCF是一種基于報(bào)文中的TTL來判斷報(bào)文是否使用偽造源地址的方法。每收到一個(gè)報(bào)文,可以通過其中的TTL值猜測報(bào)文最初被賦予的TTL值,進(jìn)而得到報(bào)文到達(dá)本地所經(jīng)過的跳數(shù),將這個(gè)跳數(shù)與事先得到的相應(yīng)前綴到達(dá)本地的跳數(shù)對比,如果出現(xiàn)很大的偏差,就可以認(rèn)為這個(gè)地址是偽造的。這種方法的依據(jù)是,偽造源地址的報(bào)文一般不會(huì)偽造出正確的TTL值,只要網(wǎng)關(guān)可以獲知屬于這個(gè)源地址的大概的TTL范圍,那么就可以過濾掉TTL明顯不對的報(bào)文。在參考文獻(xiàn)[19]中詳細(xì)描述了這種方法的一個(gè)應(yīng)用。HCF也是一種輕量方案,只增加一次路由查找的負(fù)荷,就能過濾掉接近90%的偽造源地址報(bào)文。但是,在攻擊很嚴(yán)重的情況下,剩余的10%流量也可以造成嚴(yán)重的攻擊,而且如果攻擊者事先進(jìn)行探測,就可能偽造出正確的TTL值,這樣HCF會(huì)被繞過而完全不起作用。HCF的另外一個(gè)缺陷是,從IP地址前綴到跳數(shù)的映射表的獲取是很復(fù)雜的,這個(gè)過程還很容易被攻擊。ARBIF是一種利用自治域之間的鄰接關(guān)系來判斷源地址真實(shí)性的方法。它主要依賴于鄰接的自治域直接信賴關(guān)系的傳遞性來對源地址進(jìn)行認(rèn)證。ARBIF需要預(yù)先知道網(wǎng)絡(luò)的拓?fù)?在此基礎(chǔ)上建立信任關(guān)系。ARBIF過濾的代價(jià)接近于一次或兩次路由查找的代價(jià),是一種很輕量的方法。在部署較好的情況下,ARBIF可以達(dá)到很好的域間過濾效果。ARBIF的問題是不夠靈活,需要基于很多不能自動(dòng)發(fā)現(xiàn)的信息來產(chǎn)生過濾規(guī)則,增加ARBIF的靈活性是一個(gè)值得研究的方向。另外,ARBIF應(yīng)對路由變化的機(jī)制還在進(jìn)一步研究之中。(7)本地主機(jī)和外部主機(jī)攻擊的防御機(jī)制在路徑上過濾這類方案中,有一些方法具有比較類似的特性:它們一般部署在距離主機(jī)最近的網(wǎng)關(guān)上,目的是檢驗(yàn)本地主機(jī)發(fā)出的報(bào)文的源地址的真實(shí)性,對來自外界的攻擊沒有防范能力。這些方法被單列為一類,稱為接入網(wǎng)過濾方法。這類方法是出于部署者的一種自我約束的需求產(chǎn)生的,往往部署在最靠近主機(jī)的地方,目的是防止這些主機(jī)偽造其他地址,但是沒有防御外來的偽造報(bào)文攻擊的能力。這些方法包括DHCPLeaseQuery4.1.2spm和appa安全端到端方案使報(bào)文的接收端在獲取報(bào)文時(shí)能夠獲知報(bào)文源地址的真實(shí)性,即在報(bào)文的發(fā)送端報(bào)文添加簽名,報(bào)文的接收端根據(jù)這個(gè)簽名來判斷報(bào)文源地址的真?zhèn)涡?在中間網(wǎng)絡(luò)上不判別報(bào)文源地址的真實(shí)性。報(bào)文的接收端可能是各種粒度的,可以是一個(gè)自治域,也可以是一臺主機(jī)。端到端方案并不一定用于制止帶有偽造源地址的DDoS攻擊,還可能用于需要確保源地址真實(shí)性的應(yīng)用需求。這類方案的典型代表有IPSecIPSec是主機(jī)級別的端到端真實(shí)地址方案。RFC2401~2409中詳細(xì)定義了IPSec的相關(guān)技術(shù)。IPSec采用私鑰簽名方式進(jìn)行認(rèn)證。在發(fā)送的報(bào)文中增加一個(gè)認(rèn)證頭AH(AH是對整個(gè)報(bào)文內(nèi)容和源地址的一個(gè)私鑰加密的結(jié)果),報(bào)文的接收方使用發(fā)送方的公鑰解密AH,就可以得知報(bào)文的源地址是否真實(shí)。AH頭同時(shí)還能用于防止重放攻擊和驗(yàn)證報(bào)文完整性。但是,這種認(rèn)證方式的網(wǎng)絡(luò)開銷較高,使得IPSec不但無法防止DDoS攻擊,而且很有可能成為DDoS攻擊的對象。IPSec是目前保護(hù)粒度最高的認(rèn)證機(jī)制,在強(qiáng)制部署的情況下,它可以使一臺主機(jī)無法偽造其他主機(jī)的地址與別的主機(jī)進(jìn)行通信。SPM是一種域間真實(shí)地址方案,采用簽名—認(rèn)證驗(yàn)證體系。當(dāng)報(bào)文離開自治域時(shí),自治域的網(wǎng)關(guān)路由器將為其添加一個(gè)基于源—目的自治域?qū)Φ暮灻?當(dāng)?shù)竭_(dá)目的自治域時(shí),將檢查這個(gè)簽名,沒有簽名或者含有錯(cuò)誤簽名的報(bào)文將被丟棄。SPM沒有采用任何加密技術(shù),因此整個(gè)方案比較輕量,驗(yàn)證代價(jià)接近于一次路由表查找的代價(jià)。SPM的保護(hù)粒度是一個(gè)自治域,即一個(gè)自治域內(nèi)主機(jī)的源地址不能被其他自治域的主機(jī)偽造。由于驗(yàn)證的輕量性和邊界路由器的強(qiáng)大性能,因此SPM不會(huì)成為DDoS的攻擊對象。SPM的安全性是基于主干網(wǎng)的報(bào)文難以被竊聽這一前提的。但是,主干網(wǎng)的報(bào)文難以保證不被竊聽,特別是在報(bào)文穿越自治域時(shí),簽名被竊取的可能性很大,一旦簽名被竊取,攻擊者就可以偽造出具有正確簽名的報(bào)文。另外,SPM的簽名發(fā)布和更新過程也可能成為攻擊對象。簽名發(fā)布有主動(dòng)和被動(dòng)兩種方式。網(wǎng)絡(luò)中自治域較多,主動(dòng)交互的高代價(jià)可能引來DoS攻擊;被動(dòng)的簽名發(fā)布存在被攻擊者欺騙的可能性。簽名的更新有主動(dòng)散布和使用偽隨機(jī)數(shù)兩種方式,前者存在大規(guī)模應(yīng)用更新頻率可能無法滿足要求的問題,后者在同步上缺乏驗(yàn)證。APPA類似于SPM,都使用雙方共享的簽名來對報(bào)文源地址的真實(shí)性進(jìn)行認(rèn)證。APPA的特點(diǎn)在于通信雙方共同使用一個(gè)單向的Hash函數(shù)來自發(fā)計(jì)算通信的簽名,而不是采用交互的方式。這樣的好處是:減少了通信雙方的交互,降低了復(fù)雜性,避免了交互帶來的安全問題。APPA所采用的產(chǎn)生簽名方式可以快速生成下一個(gè)簽名,可以做到一個(gè)簽名只使用一次,在這種情況下,簽名即便被竊聽,攻擊者也無法使用這個(gè)簽名偽裝成APPA的部署者,所以APPA在安全性上比SPM要高。互聯(lián)網(wǎng)上的IP報(bào)文存在的亂序問題增加了一次一密情況下APPA驗(yàn)證的復(fù)雜性。APPA正在進(jìn)行進(jìn)一步的完善以處理這些細(xì)節(jié)問題。4.2追蹤攻擊真實(shí)Traceback類方案沒有直接的保護(hù)作用,但是可以追查攻擊者的真實(shí)位置,進(jìn)而采用其他方法來消除攻擊。Traceback類方案主要采用報(bào)文標(biāo)記、路由器記錄以及收集器處理等方式來確定報(bào)文的來源。(1)trace介紹在報(bào)文中加入路由器的標(biāo)記,報(bào)文的接收者可以根據(jù)這些標(biāo)記來判斷報(bào)文所經(jīng)過的實(shí)際路徑。采用報(bào)文標(biāo)記方式的Traceback方案有PPM這種實(shí)現(xiàn)方式不會(huì)給路由器增加太大的負(fù)擔(dān),路徑的確定算法也很輕量。它的問題在于,經(jīng)過的路由器越多,加入的標(biāo)記就越多,報(bào)文長度會(huì)越長,或者以前的標(biāo)記被清除掉。因此,報(bào)文標(biāo)記Traceback方案不適合大型網(wǎng)絡(luò)。(2)電子鼻檔案的追蹤每一個(gè)路由器保存一張位圖,路由器利用Hash函數(shù)將轉(zhuǎn)發(fā)的報(bào)文轉(zhuǎn)換成一個(gè)數(shù)字,這個(gè)數(shù)字對應(yīng)位圖上的相應(yīng)位,該位將被標(biāo)記,一旦管理者發(fā)現(xiàn)需要追查某個(gè)報(bào)文的源頭,他會(huì)向所有的路由器發(fā)出請求以獲取標(biāo)記了相應(yīng)位的路由器信息,進(jìn)而可以找到報(bào)文被轉(zhuǎn)發(fā)的路線。采用這種實(shí)現(xiàn)方式的Traceback方案典型代表有Hash-basedIPTraceback這種實(shí)現(xiàn)方式占用的空間和消耗的時(shí)間都是相當(dāng)輕量的。其最大的問題就是Hash碰撞,不同的報(bào)文可能Hash到相同的位上,導(dǎo)致追查時(shí)無法辨別。在高速網(wǎng)絡(luò)中,報(bào)文的數(shù)量很多,碰撞的次數(shù)會(huì)相應(yīng)增加,這個(gè)問題更加嚴(yán)重。(3)模式1:根據(jù)收集器的信息所獲得不同的報(bào)文,包括通過收集器的信息確定報(bào)文的路徑或消息利用一個(gè)收集器處理來自路由器的報(bào)文或者消息,根據(jù)收集器獲得的信息確定報(bào)文的路徑。采用這種實(shí)現(xiàn)方式的Traceback方案代表有iTrace4.3配置常用的dpf用量表1從幾個(gè)方面對路徑上過濾和端到端兩類方案的代表技術(shù)做了比較。Traceback類方案都沒有主動(dòng)防御能力,因此這里不考慮。同時(shí),考慮到全局部署難度比較大,所以這里只考慮非全局部署。RS為randomsou