обратная трассировка IP

Метод определения происхождения пакета в Интернете

Обратная трассировка IP — это любой метод надежного определения происхождения пакета в Интернете. Протокол IP не обеспечивает аутентификацию IP-адреса источника IP-пакета, что позволяет фальсифицировать адрес источника с помощью стратегии, называемой подделкой IP-адреса , и создает потенциальные проблемы безопасности и стабильности в Интернете.

Использование ложных IP-адресов источника допускает атаки типа «отказ в обслуживании» (DoS) или односторонние атаки (когда ответ хоста-жертвы настолько хорошо известен, что для продолжения атаки не требуется получать обратные пакеты ^{[ необходимы разъяснения ]} ). Отслеживание IP имеет решающее значение для выявления источников атак и принятия мер защиты Интернета. Большинство существующих подходов к этой проблеме ориентированы на обнаружение DoS-атак. Такие решения требуют большого количества пакетов для схода на пути атаки.

Вероятностная маркировка пакетов

Сэвидж и др. ^[1] предложил вероятностно маркировать пакеты при их прохождении через маршрутизаторы через Интернет. Они предлагают, чтобы маршрутизатор помечал пакет либо IP-адресом маршрутизатора, либо границами пути, по которому пакет прошел, чтобы достичь маршрутизатора.

Анализ показывает, что для первого варианта, маркирующего пакеты IP-адресом маршрутизатора, для определения правильного пути атаки с точностью 95% требуется 294 000 пакетов. Второй подход, маркировка ребра, требует, чтобы два узла, составляющие ребро, отмечали путь своими IP-адресами и расстоянием между ними. Этот подход потребует больше информации о состоянии в каждом пакете, чем простая маркировка узлов, но сходится гораздо быстрее. Они предлагают три способа свести информацию о состоянии этих подходов к чему-то более управляемому. ^[1]

Первый подход заключается в выполнении XOR каждого узла, образующего ребро на пути друг с другом. Узел a вставляет свой IP-адрес в пакет и отправляет его b . При обнаружении в b (путем обнаружения 0 на расстоянии) b выполняет операцию XOR своего адреса с адресом a . Этот новый объект данных называется идентификатором края и вдвое уменьшает необходимое состояние для выборки края. Их следующий подход — взять этот идентификатор ребра и разбить его на k меньших фрагментов. Затем случайным образом выберите фрагмент и закодируйте его вместе со смещением фрагмента, чтобы правильный соответствующий фрагмент был выбран из нисходящего маршрутизатора для обработки. Когда получено достаточное количество пакетов, жертва может восстановить все границы серии пройденных пакетов (даже в присутствии нескольких злоумышленников). ^[1]

Согласно исследованию Сонга и Перрига, из-за большого количества комбинаций, необходимых для восстановления фрагментированного идентификатора ребра, реконструкция такого графа атаки требует больших вычислительных ресурсов. Кроме того, такой подход приводит к большому количеству ложных срабатываний. Например, при DDoS-атаке всего 25 хостов процесс восстановления занимает несколько дней и приводит к тысячам ложных срабатываний. ^[2]

Соответственно, Сонг и Перриг предлагают следующую схему обратной трассировки: вместо кодирования IP-адреса, чередующегося с хешем , они предлагают кодировать IP-адрес в 11-битный хэш и поддерживать 5-битный счетчик переходов, оба из которых хранятся в 16-битном идентификаторе фрагмента. поле. Это основано на наблюдении, что 5-битное количество переходов (максимум 32 перехода) достаточно почти для всех интернет-маршрутов. Далее они предлагают использовать две разные хэш-функции, чтобы можно было определить порядок маршрутизаторов в маркировке. Далее, если какой-либо переход решает пометить его, сначала проверяется наличие в поле расстояния 0, что означает, что предыдущий маршрутизатор уже пометил его. В этом случае он генерирует 11-битный хеш своего собственного IP-адреса, а затем выполняет XOR с предыдущим прыжком. Если он обнаруживает ненулевое количество переходов, он вставляет свой IP-хеш, устанавливает счетчик переходов на ноль и пересылает пакет дальше. Если маршрутизатор решает не маркировать пакет, он просто увеличивает количество переходов в поле идентификатора перегруженного фрагмента. ^[2]

Сонг и Перриг определяют, что это недостаточно устойчиво к коллизиям, и поэтому предлагают использовать набор независимых хэш-функций, случайным образом выбирая одну, а затем хешируя IP-адрес вместе с FID или идентификатором функции, а затем кодируя его. Они утверждают, что такой подход существенно снижает вероятность столкновения до (1/(211)m). Для получения дополнительной информации см. Сонг и Перриг. ^[2]

Детерминированная маркировка пакетов

Беленький и Ансари описывают детерминированную схему маркировки пакетов. Они описывают более реалистичную топологию Интернета, состоящую из локальных сетей и AS с соединительной границей, и пытаются поставить единую метку на входящие пакеты в точке входа в сеть. Их идея состоит в том, чтобы поместить со случайной вероятностью 0,5 верхнюю или нижнюю половину IP-адреса входного интерфейса в поле идентификатора фрагмента пакета, а затем установить резервный бит, указывающий, какая часть адреса содержится в поле фрагмента. Используя этот подход, они утверждают, что могут получить 0 ложных срабатываний с вероятностью 0,99 всего после 7 пакетов. ^[3]

Раянчу и Баруа предлагают еще один вариант этого подхода (так называемый DERM). Их подход аналогичен тем, что они хотят использовать закодированный IP-адрес входного интерфейса в поле идентификатора фрагмента пакета. Их отличие от Беленького и Ансари заключается в том, что они хотят закодировать IP-адрес в виде 16-битного хеша этого IP-адреса. Первоначально они выбирают известную функцию хеширования. Они заявляют, что могли бы возникнуть некоторые коллизии, если бы маркировку выполняли более 2^16 граничных маршрутизаторов. ^[4]

Они пытаются смягчить проблему коллизий, вводя случайный распределенный выбор хеш-функции из универсального набора, а затем применяя ее к IP-адресу. В любом сценарии хеширования адрес источника и хэш сопоставляются вместе в таблице для последующего поиска вместе с битом, указывающим, какую часть адреса они получили. Благодаря сложной процедуре и случайному выбору хеша они способны уменьшить коллизию адресов. Используя детерминированный подход, они сокращают время процедуры восстановления своей метки (16-битного хеша). Однако, кодируя эту метку посредством хеширования, они увеличивают вероятность коллизий и, следовательно, ложных срабатываний. ^[4]

Шокри и Варшови представили концепции динамической маркировки и обнаружения на основе маркировки с помощью «динамической детерминированной маркировки пакетов» (DDPM). При динамической маркировке можно обнаружить агентов атаки в крупномасштабной DDoS-сети. В случае DRDoS это позволяет жертве проследить атаку на один шаг назад к источнику, найти главную машину или настоящего злоумышленника всего с несколькими пакетами. Предлагаемая процедура маркировки повышает вероятность обнаружения DRDoS-атаки на жертве посредством обнаружения на основе маркировки. В методе на основе меток механизм обнаружения учитывает метки пакетов для идентификации различных источников одного сайта, вовлеченного в DDoS-атаку. Это существенно увеличивает вероятность обнаружения. Чтобы удовлетворить подходу сквозных аргументов , разделению судьбы , а также с учетом необходимости масштабируемых и применимых схем, только граничные маршрутизаторы реализуют простую процедуру маркировки. Довольно незначительная задержка и накладные расходы на полосу пропускания, добавленные к граничным маршрутизаторам, делают DDPM реализуемым. ^[5]

С. Маджумдар, Д. Кулкарни и К. Равишанкар предлагают новый метод отслеживания происхождения пакетов DHCP в ICDCN 2011. Их метод добавляет новую опцию DHCP, которая содержит MAC-адрес и входной порт граничного коммутатора, который получил DHCP-пакет. Эта новая опция будет добавлена ​​в пакет DHCP пограничным коммутатором. Это решение соответствует DHCP RFC. Предыдущие механизмы отслеживания IP перегружали поля заголовка IP информацией отслеживания и, таким образом, нарушали IP RFC. Как и другие механизмы, в этой статье также предполагается, что сети доверяют. В документе представлены различные проблемы производительности маршрутизаторов/коммутаторов, которые учитывались при разработке этого практического подхода. Однако этот подход неприменим к любому общему IP-пакету. ^[6]

Маршрутизаторный подход

При использовании подходов на основе маршрутизатора маршрутизатор отвечает за сохранение информации о проходящих через него пакетах. Например, Сагер предлагает регистрировать пакеты, а затем анализировать их данные позже. Преимущество этого метода заключается в том, что он находится вне диапазона и, таким образом, не мешает быстрому пути. ^{[ нужна цитата ]}

Снорен и др. предлагаю маркировку внутри роутера. Идея, предложенная в их статье, состоит в том, чтобы сгенерировать отпечаток пакета на основе инвариантных частей пакета (источник, пункт назначения и т. д.) и первых 8 байтов полезной нагрузки (которые достаточно уникальны, чтобы иметь низкую вероятность коллизий). ). Точнее говоря, каждая из m независимых простых хэш-функций генерирует выходные данные в диапазоне 2n-1. Затем в сгенерированном индексе устанавливается бит для создания отпечатка пальца в сочетании с выводом всех других хеш-функций. Все отпечатки пальцев сохраняются в 2n-битной таблице для последующего извлечения. В статье показано простое семейство хеш-функций, подходящих для этой цели, и представлена ​​его аппаратная реализация. ^[7]

Пространство, необходимое на каждом маршрутизаторе, ограничено и контролируемо (2n бит). Маленькое n увеличивает вероятность коллизии хэшей пакетов (и ложной идентификации). Когда пакет необходимо отследить, он пересылается исходным маршрутизаторам, где проверяются совпадения отпечатков пальцев. Со временем информация об отпечатках пальцев «затирается» хэшами, сгенерированными другими пакетами. Таким образом, избирательность этого подхода ухудшается с течением времени, прошедшего между прохождением пакета и обратным запросом. ^[7]

Другой известный подход к схемам на основе маршрутизаторов принадлежит Hazeyama et al. В своем подходе они хотят интегрировать подход SPIE, описанный Сноереном ^[7] , с их подходом записи идентификатора канала уровня 2 вместе с идентификатором сети ( VLAN или истинный идентификатор), MAC-адресом коммутатора уровня 2. который получил пакет и идентификатор канала, по которому он пришел. Затем эта информация помещается в две таблицы поиска, каждая из которых содержит MAC-идентификатор коммутатора (маршрутизатора уровня 2) для поиска. Они полагаются на кортеж MAC:port как метод обратного отслеживания пакета (даже если MAC-адрес был подделан). ^[8]

Чтобы смягчить проблему ограничений хранилища, они используют подход и реализацию хеширования Snoeren (SPIE), модифицируя его для принятия их информации для хеширования. Они признают, что их алгоритм медленный (O(N2)) и, поскольку хранится всего 3,3 миллиона хэшей пакетов, приблизительное время до того, как таблицы дайджестов станут недействительными, составляет 1 минуту. Это означает, что любая реакция на атаку должна осуществляться в режиме реального времени, что возможно только в доменах локальной сети с одним администрированием. ^[8]

Внеполосные подходы

Схема обратной трассировки ICMP Стивен М. Белловин предлагает вероятностную отправку пакета обратной трассировки ICMP вперед к хосту назначения IP-пакета с некоторой низкой вероятностью. Таким образом, отпадает необходимость поддерживать состояние либо в пакете, либо в маршрутизаторе. Более того, низкая вероятность позволяет снизить накладные расходы на обработку, а также требования к полосе пропускания. Белловин предлагает, чтобы выбор также основывался на псевдослучайных числах, чтобы помочь блокировать попытки тайм-атак. Проблема с этим подходом заключается в том, что маршрутизаторы обычно блокируют сообщения ICMP из-за связанных с ними проблем безопасности.

Отслеживание потоков активных атак

В этом типе решения наблюдатель отслеживает существующий поток атак, проверяя входящие и исходящие порты на маршрутизаторах, начиная с атакуемого хоста. Таким образом, такое решение требует наличия привилегированного доступа к маршрутизаторам на пути атаки.

Чтобы обойти это ограничение и автоматизировать этот процесс, Стоун предлагает маршрутизировать подозрительные пакеты в оверлейной сети с помощью пограничных маршрутизаторов интернет-провайдера. За счет упрощения топологии подозрительные пакеты можно легко перенаправить в специализированную сеть для дальнейшего анализа.

По природе DoS любая такая атака будет достаточно долговременной, чтобы ее можно было отследить. Изменения топологии третьего уровня, хотя их трудно замаскировать для решительного злоумышленника, имеют возможность облегчить DoS до тех пор, пока изменение маршрутизации не будет обнаружено и впоследствии не адаптировано. Как только злоумышленник адаптируется, схема изменения маршрутизации может снова адаптироваться и изменить маршрут; вызывание колебаний в DoS-атаке; предоставление некоторой способности поглощать воздействие такой атаки.

Другие подходы

Хэл Берч и Уильям Чесвик предлагают контролируемую рассылку ссылок, чтобы определить, как эта лавина влияет на поток атак. Затопление канала приведет к тому, что все пакеты, включая пакеты злоумышленника, будут отброшены с одинаковой вероятностью. Из этого можно сделать вывод, что если данный канал был затоплен, а пакеты от злоумышленника замедлились, то этот канал должен быть частью пути атаки. Затем рекурсивно восходящие маршрутизаторы «принуждаются» выполнять этот тест до тех пор, пока не будет обнаружен путь атаки. ^[9]

Проблема обратной трассировки усложняется из-за поддельных пакетов. Таким образом, соответствующие усилия направлены на предотвращение поддельных пакетов; известный как входная фильтрация . Входная фильтрация ограничивает поддельные пакеты во входных точках сети, отслеживая набор законных исходных сетей, которые могут использовать этот маршрутизатор.

Парк и Ли представляют расширение входной фильтрации на уровне 3. Они представляют собой средство обнаружения ложных пакетов, по крайней мере, в подсети, по существу используя существующее состояние маршрутизации OSPF , чтобы маршрутизаторы могли принимать разумные решения о том, должен ли пакет приниматься или нет. быть маршрутизировано. ^{[ нужна цитата ]}

Рекомендации

1. Сэвидж, Стефан; Д. Уэтералл; А. Карлин ; Т. Андерсон (2000). «Практическая сетевая поддержка обратной трассировки IP» (PDF) . АСМ СИГКОММ . Стокгольм, Швеция . Проверено 18 ноября 2008 г.
2. Песня, Рассвет; А. Перриг (2001). «Расширенные и проверенные схемы маркировки для обратного отслеживания IP» (PDF) . ИНФОКОМ 2001 . стр. 878–886 . Проверено 23 ноября 2008 г.
3. Беленький, Андрей; Нирван Ансари (2007). «О детерминированной маркировке пакетов». Компьютерная сеть . 51 (10): 2677–2700. дои : 10.1016/j.comnet.2006.11.020.
4. Раянчу, Шраван К.; Гаутам Баруа (22–24 декабря 2004 г.). «Отслеживание злоумышленников с помощью детерминированной маркировки пограничного маршрутизатора (DERM)». Распределенные вычисления и интернет-технологии, Первая международная конференция . Бхубанешвар, Индия. стр. 400–409.
5. Шокри, Реза; А. Варшови; Х. Мохаммади; Н. Яздани; Б. Садегян (13–15 сентября 2006 г.). «DDPM: динамическая детерминированная маркировка пакетов для обратной трассировки IP». Международная конференция IEEE по сетям . Сингапур. стр. 1–6.
6. Маджумдар, Саугат; Д. Кулкарни; К.Равишанкар (2011). «Отслеживание происхождения DHCP в коммутируемых сетях Ethernet» (PDF) . ИКДКН . Архивировано из оригинала (PDF) 22 июня 2011 г. Проверено 22 сентября 2010 г.
7. Snoreren, Алекс С.; К. Партридж; Л.А. Санчес; К.Э. Джонс; Ф. Чакунцио; Б. Шварц; СТ Кент; В. Т. Страйер (2002). «Однопакетная IP-отслеживание». IEEE/ACM Транс. Сеть . 10 (6): 721–734. CiteSeerX 10.1.1.14.1277 . дои : 10.1109/TNET.2002.804827. S2CID  6609246. 
8. Хазеяма, Хироаки; Ю. Кадобаяши; Д. Миямото; М. Оэ (26–29 июня 2006 г.). «Автономная архитектура для междоменной обратной связи через границы работы сети». Материалы 11-го симпозиума IEEE по компьютерам и коммуникациям . Кальяри, Сардиния, Италия. стр. 378–385.
9. Берч, Хэл; Билл Чесвик (2000). «Отслеживание анонимных пакетов до их приблизительного источника» (PDF) . ЛИЗА . стр. 319–327.