基于IPv4向IPv6过渡的IP追溯技术研究

  • 格式:pdf
  • 大小:248.00 KB
  • 文档页数:5

收稿日期:2011-06-21;修回日期:2011-07-29基金项目:国家自然科学基金资助项目(61005029)作者简介:朱田(1986-),男,硕士研究生,主要研究方向为下一代互联网、可信网络(zhutian@cnnic.cn);陈涛,男,博士,主要研究方向为下一代互联网、可信网络;马迪,男,博士研究生,主要研究方向为下一代互联网、可信网络;王利明,男,博士,主要研究方向为下一代互联网、可信网络;毛伟,男,研究员,博导,主要研究方向为下一代互联网、网络寻址与定位.基于IPv4向IPv6过渡的IP追溯技术研究*朱田1,2,3,陈涛1,2,马迪1,2,3,王利明1,2,毛伟1,2(1.中国互联网络信息中心,北京100080;2.中国科学院计算机网络信息中心,北京100080;3.中国科学院研究生院,北京100049)摘要:随着IPv4地址的耗尽及IPv6网络的加速部署,将面临IPv4网络和IPv6网络长期共存的局面。目前学术界和工业界提出了多种IPv4向IPv6过渡的技术,这些过渡技术的复合使用将增加IPv4/IPv6混合网络的复杂性,给安全事件的处理和追溯带来了新的挑战,因此复杂过渡网络环境中的IP追溯问题亟待解决。对IP地址安全管理体系下的IP地址的可追溯性及IP追溯技术的最新研究进展进行了综述,同时对IPv4/IPv6混合网络中的IP追溯问题的可能解决方案进行了深入的探讨和分析,最后阐述了IP追溯技术所面临的新挑战,指出了未来研究的方向。关键词:IP追溯;网络地址转换;终端主机;精度和准确度;过渡机制中图分类号:TP393文献标志码:A文章编号:1001-3695(2011)12-4409-05doi:10.3969/j.issn.1001-3695.2011.12.003ResearchofIPtracebacktechnologybasedontransitionfromIPv4toIPv6ZHUTian1,2,3,CHENTao1,2,MADi1,2,3,WANGLi-ming1,2,MAOWei1,2(1.ChinaInternetNetworkInformationCenter,Beijing100080,China;2.ComputerNetworkInformationCenter,ChineseAcademyofSciences,Beijing100080,China;3.GraduateSchoolofChineseAcademyofSciences,Beijing100049,China)Abstract:WiththeIPv4addressexhaustionandtheIPv6networksdeployment,itwillconfrontthesituationthatIPv4net-worksandIPv6networkswillcoexistforaverylongtime.Atpresent,therehavebeenavarietyofproposedmechanismsforIPv4toIPv6transition,thedeploymentofthesetechnologieswillincreasethecomplexityofIPv4/IPv6hybridnetworkandbringnewchallengesforhandlingandtracebacksecurityincidents.Therefore,IPtracebackproblemsinIPv4toIPv6transitionnetworkenvironmentsneedtobesolvedquickly.ThispaperreviewedIPaddresstraceabilityunderIPaddresssafetymanage-mentsystemandtherecentevolvementofIPtracebacktechnologies.Thengaveanin-depthdiscussandanalysistopossibleso-lutionsforIPtracebackintheIPv4toIPv6transitionenvironments.Intheend,elaboratedonnewchallengesthatIPtracebacktechnologiesfaced,anddiscussedthefuturetrendofpossibleresearch.Keywords:IPtraceback;networkaddresstranslation;end-host;precisionandaccuracy;transitionmechanism0引言互联网是信息社会重要的基础设施,关系到经济、民生及社会发展的各个方面,然而当前互联网中的安全事件越来越多,各种恶意攻击和破坏行为层出不穷,给网络用户和网络运营商造成了巨大损失,网络安全问题日益突出。IP追溯技术是指攻击进行中或者结束后,通过各种技术获取相关路由器的IP地址信息,分析获取的信息,追溯到发送攻击数据包的源头。IP追溯技术能在一定程度和范围内追溯到攻击源头,威慑攻击者,从源头上遏制网络攻击行为,降低网络攻击的危害程度,是网络安全中一个重要的研究领域。随着IPv6[1]的部署,IPv4向IPv6过渡[2~5],逐渐形成两大核心网络:IPv4核心网络和IPv6核心网络。由于IPv4向IPv6过渡的渐进性和长期性,在过渡过程中,IPv4网络、纯IPv6网络以及IPv4/IPv6混合网络都需要互连互通,由互连互通引起的网络安全问题亟待解决。1IP追溯技术的分析和比较为了追溯攻击者,早在20世纪80、90年代,国外科研机构已经开始研究网络追溯技术。随着互联网的发展,IP追溯技术不断演进,发展到今天已经相对比较成熟。但是由于IPv4协议自身设计的局限,IP追溯问题仍然没有得到很好的解决。由于互联网中部署的大量NAT[6]设备,隐藏了终端主机真实的IP地址,破坏了网络端到端的特性[4]。目前IP追溯技术只能追溯到NAT设备,而不能追溯到终端主机,因此无法保证追溯精度。同时,由于IP追溯技术自身的局限性,如果网络中的路由器被攻陷,攻击者发送伪造的数据包,可能重构错误的攻击路径,或者重构不出攻击路径,导致追溯定位错误。所以追溯的精度和追溯的准确度是IP追溯技术的核心。在NAT环境中,需要扩展已有IP追溯技术来解决IP追溯问题,本章从IP追溯技术能否扩展到NAT环境的角度对IP追溯技术进行分类,并从追溯精度、追溯准确度、追溯开销、

收敛第28卷第12期2011年12月计算机应用研究ApplicationResearchofComputersVol.28No.12Dec.2011时间和兼容性等方面进行详细的分析和介绍。1.1可扩展追溯技术可扩展追溯技术主要包括ICMP追溯(ICMPtraceback)、包标记(packetmarking)、日志记录(logging)[7,8]以及标记与日志(marking&logging)等。1.1.1ICMP追溯文献[9]提出在路由器中增加跟踪机制追溯攻击者。iTrace机制[10]采用ICMP包记录路径信息,ICMP包由iTrace路由器以很低的概率产生,随IP数据包一起发送给目的主机,受害主机收集一定量的ICMP包,提取出路径信息重构攻击路径。Felix针对iTrace机制存在的问题,提出了意图驱动(inten-tiondriven)的iTrace机制[11],提高靠近攻击源的iTrace路由器产生ICMP包的概率,让受害者决定是否需要iTrace路由器产生ICMP包,减少了网络流量负担,极大地提高了iTrace机制的性能。iTrace机制为每个IP数据包创建一个ICMP包,增加了额外网络流量,加重了路由器处理负担。而且该机制没有实现密钥分配的加密机制,如果攻击者发送伪造的ICMP包,可能造成重构路径错误,或者重构不出路径。同时,需要收集足够量的ICMP包才能重构出攻击路径,收敛时间较长。ICMPv4和ICMPv6[12]的包格式不同,要将ICMPv4追溯技术扩展到IPv6中,需要重新设计iTrace机制。在NAT环境中,iTrace机制只能追溯到NAT设备,如果要追溯到NAT设备后的终端主机,需要扩展iTrace机制。在NAT路由器产生的ICMP包中记录内部终端主机IP地址,利用这个IP地址定位内部终端主机。1.1.2包标记文献[13]提出在数据包中记录路由器IP地址信息追溯攻击源。随后,Savage等人[14]对此进行了深入研究,提出了概率包标记(probabilisticpacketmarking,PPM),为后续研究奠定了基础。后续研究者又提出了IP数据包路径记录、确定包标记(deterministicpacketmarking,DPM)[15,16]和入口包标记[17]等技术。包标记的基本思想是使用IP数据包中未被使用的空间记录路由器IP地址信息,受害者收集到一定量标记数据包,提取标记信息重构攻击路径。由于路由器没有标记功能,需要升级路由器。包标记增加了路由器处数据包的长度,可能导致额外的数据包分片,增加了路由器处理负担。而且攻击者能用伪造数据标记数据包,导致重构攻击路径错误,或者重构不出攻击路径,存在安全隐患。IPv6精简了数据包头,数据包头中不能记录信息,因此包标记不能直接应用于IPv6,然而IPv6拥有多个扩展包头,扩展包头的使用很灵活,能用来记录路由器路径信息。在NAT环境中,可以采用与ICMP追溯类似的扩展方法标记IP数据包,追溯NAT内部终端主机。1.1.3日志记录文献[18]提出在路由器上记录日志追溯攻击源。基本思想是,路由器对上游链路的数据包进行日志记录,受害者提取出攻击数据包的一些共有特征,与路由器中的日志信息进行比较,逐级恢复出攻击数据包经过的路由器。Snoeren等人[19]提出基于hash表的源路径隔离引擎(sourcepathisolationengine,SPIE)来解决日志量过大问题。该技术不保存整个数据包,只保存一个32位的数据包hash摘要,受害者根据接收到的攻击数据包,在相关hash值域内查询路由器,重构攻击数据包经过的路径。该技术在关键路由器上记录数据包信息,支持单一数据包和事后追溯,采用数据挖掘技术分析日志信息。同时,采用路由器记录信息,容易扩展到IPv6,由于路由器安全性能较高,因此追溯准确度也较高,但是日志保存需要消耗路由器大量的处理和存储能力。在NAT环境中,可以利用NAT路由器记录内部终端主机信息来追溯终端主机,或者结合多种IP追溯技术来追溯终端主机。1.1.4标记与日志标记与日志[20]是包标记和日志记录相结合的追溯方法,能进行单一数据包追溯。相对于单一的日志记录方法,减少了存储空间,提高了访问效率。该技术中,路由器同时进行包标记和日志记录,包标记是标记经过路由器的数据包,日志记录是记录数据包摘要和标记信息。而且,只要能重构出攻击路径,不需要所有路由器都记录日志。标记与日志要优于单一的包标记和日志记录,并且该技术能解决NAT环境中的IP追溯问题。1.2不可扩展追溯技术不可扩展追溯技术主要包括入口过滤(ingressfilte-ring)[21]、链路测试(linktesting)和IP覆盖网(IPoverlaynet-works)[22]等。1.2.1入口过滤文献[22]提出入口过滤技术保证源IP地址有效性。基本思想是,路由器分析每个数据包的源地址,过滤非法源地址的数据包,但是分析数据包源地址会增加路由器负担。链路测试包括输入测试(inputdebugging)和受控淹没(controlledflooding)[22,23]两种方法。输入测试是指网络管理员利用受害者提供的数据包共有特征,在上一跳路由器的输出端口上过滤该特征的数据包,并定位到上一跳路由器。重复该过程,直到定位到攻击源。受控淹没是在路由器的每一条上游链路中加入反向泛洪UDP流量,观察下级路由器收到攻击数据包速率的变化,定位到上一级发送攻击数据包的链路。逐级迭代,最终定位到攻击源。该技术在路由器上配置过滤策略,不需要升级路由器,而且IPv4和IPv6的配置方法类似;但是只能保证源IP地址有效性,对NAT环境无能为力。1.2.2链路测试文献[23]提出基于链路测试的追溯技术。从最靠近受害者的路由器开始检查,逐级追溯到离攻击者最近的路由器。理想情况下,能递归执行到定位出攻击源,但是只支持实时追溯。该技术兼容现有路由器和网络基础设施,比较容易扩展到IPv6,可以逐步部署。由于链路测试是基于路由器的逐级追溯技术,因此只能追溯到NAT路由器,无法追溯到NAT内部终端主机。1.2.3IP覆盖网文献[22]提出IP覆盖网方法追溯攻击者。基本思想是,中心追踪路由器与所有边界路由器建立通信隧道,组成一个·0144·计算机应用研究第28卷