您的位置:首页 > 代理IP资讯
发布时间:2020-02-11 17:19:39
如何更改ip地址

  Internet在信息传递过程中一般采用无状态的路由体系结构,根据IP包的目的地址对IP包进行转发·由于IP协议允许匿名访问,网络管理又是无政府状态,在IP网络上没有一个实体能够对IP包源地址是否正确负责,因此,网络攻击者可以在IP包内使用任意的欺骗IP地址进行网络攻击,从而伪装了真正的攻击源,拒绝服务攻击就是这样的一种攻击类型,目前还没有较好的办法追查DoS攻击的真正的攻击源,有必要研究IP包自动追踪处理技术·


  本文提出了一个分布式软件系统,实现了IP包的自动追踪处理·解决了诸如可疑包的识别、记录、追查的安全保密性、网络资源的过多占用等技术问题·


  1相关工作


  目前,追踪IP包的方法主要有以下三种:一是修改IP协议,使转发过IP包的路由器ID存储在该包内,在接收端根据包内路由器ID,重新构造IP包传输路径[1~4];二是转发IP包的每个路由器发送ICMP报文给接收主机,接收主机根据[5~采用方法一进行7]IP包追查时只使用[8,9]1 IP包本收到的ICMP报文再重新构造IP包转发路径;三是当IP包在网络上传输时,每个路由器要对所转发的IP包进行复制,计算并存储每个包的摘要,由追踪系统根据各个转发路由器的包摘要信息追查IP包传输的完整路径·


  身的信息,不必跟踪传输路径,因此不会产生额外流量,也不会被防火墙或者安全策略堵塞·它的缺点是需要使用IP包头内分片标志域的16位(3位标志域和13位片偏移)来记录该包所经过的路由器ID,修改了IP协议·当遇到如下情况时,无法使用方法一进行IP包追查:①当IP包经过的网络需要分段时,这16位数据不能作为他用,只能用来标志分片后的IP包,因此,无法记录路由器ID;②对加密的IP通讯,RFC2402对分片标志域提供了加密保护,如果该域被修改,此IP包将被接收端丢弃;③IPv6没有设置分片标志域·


  采用方法二进行IP包追踪时会产生大量的额外负载,容易被网络安全策略堵塞,从而会严重影响网络的性能·


  采用方法三进行IP包追踪时要在IP包传输路径上的每个路由器内都进行实时包摘要计算,将包信息存储在路由器中·这需要占用路由器内大量的存储空间,消耗路由器CPU及内存资源,因而可能对该路由器的流量转发性能产生影响·按照目前的链路速率,在很短的时间内,记录的包


  收稿日期:2002 1014基金项目:国家自然科学基金资助项目(60073059)·


  作者简介:王翠荣(1963-),女,河北唐山人,东北大学副教授,博士研究生;高远(1939-),男,山西大同人,东北大学教授,博士生导师·


  第7期王翠荣等:基于代理的IP包源追踪系统663


  数据就会急速增长,从而达到难以处理的程度·假实时接收路由器转发的包前缀2 1,进行包摘要计算、1如一个OC 192链路的传输能力为12 5GB/s,构造一个查询需要60 s,则一个连接16个链路的路由器将需要1 2TB的高速存储·而现今的路由器资源还无法提供这样大的存储空间·


  在深入研究现有方法的基础上,通过反复实验,实现了基于分布式包记录,集中式控制追踪的原型系统·利用本系统进行IP包追踪时,不需要修改IP协议,不会产生额外流量,不会被防火墙或者安全策略堵塞,不会影响网络性能,不占用路由器存储资源,仅仅需要占用较少的路由器CPU时间,但是不会影响路由器正常转发性能·


  2基于代理的IP包追踪系统的设计


  本系统由三个子系统PRS、CQS和QRS组成·PRS记录IP包,CQS追踪IP传输的路径,


  QRS检测可疑包,并提供查询请求给CQS·


  本文假设自治系统内部的转发路由器是可信的、安全的,不会成为攻击者,也不会被他人攻击·


  21体系结构


  系统的体系结构如图1所示·BR是ISP的边


  界路由器,负责将IP包前缀复制到代理服务器上·PA是与路由器连接的包收集代理服务器,负责


  存储和管理,接收查询和应答报文·一个转发路由器可以配置多个代理服务器,负载过量的代理服务器通知转发路由器将IP包复制到其他代理服务器上·


  图1自治系统内部反追查体系结构


  Fig.1 Traceback system architecture


  SCA是自治系统内部中心控制服务器,负责管理多个PA的查询·由于自治系统拓扑结构比较复杂,在一个自治系统内可能需要多个SCA,图1中只示意性地画出一个·


  网关负责来自于受攻击者的查询请求,并发送这个查询请求给SCA·


  22追踪查询过程


  ①通过入侵检测系统IDS识别攻击包[10],然后发送查询请求给本网络的网关;②网关计算该包的摘要Pd,构造查询报文·报文以三元组(Pd,SG id,T)的形式提供给本ISP


  包前缀重复率与其长度有一定的关-22-3系[11]·如的SCA,其中SG id是该网关的出口点地址,T是受攻击的时间;


  ③SCA接到一个追踪查询请求后,首先验证请求者的身份,然后根据请求者的安全等级、SCA的安全策略决定是否接受查询请求;


  ④SCA接受查询请求后,立即要求该域内所有的PA查询各自的摘要数据库·PA对SCA进行身份确认后,将查询结果向SCA报告;


  ⑤SCA收到PA的应答报文之后,构造出路径并将该路径发送给网关;


  ⑥如果所有PA都没有找到该包的摘要信息,SCA将向另外的自治系统AS发送查询请求;


  ⑦本地SCA收到所有其他的SCA攻击路径之后,它将构造一个完整的攻击路径,并将该路径发送给提出查询请求的网关,网关将结果报告给受攻击者·


  23系统设计的关键技术


  ①IP包前缀的获取


  本实验中边界路由器BR运行的操作系统为FreeBSD4.5·由于FreeBSD4.5不具有包记录功能,因此修改了操作系统源代码,实现了对IP包的记录功能·


  果仅取IP包头的20个字节作为包前缀,前缀重复的概率接近10,当取到将近40个字节时,前缀重复的概率迅速下降到10,多于40个字节以后,前缀重复的概率近于常量·在扩充路由器转发算法时,先将每个包的前40个字节缓存在路由器上,每收集到10个包的前缀数据,路由器就将这10个数据通过一个UDP报文发送到代理服务器上·代理服务器对接收到的包前缀数据进行摘要计算,记录到达时间、路由器ID、接口卡ID和出口卡ID,并对这些数据进行存储与查询管理·


  ②摘要算法的实现


  反向追查IP包的目的是找到IP包的来源,并不需要了解IP包内容·因此,在系统设计中使用包摘要标识IP包·


  摘要的计算采用RFC1321描述的MD5算法,将IP包前40个字节压缩成长度为128位的数据,称此数据为IP包摘要·此算法计算量小,容易实现·采用这种算法出现包不同而摘要相同的概率为2-128,如果再加上时间、出口和入口地址等信息,重复率就更低,因此就能够惟一地标识


  IP包·


  664东北大学学报(自然科学版)第24卷


  ③IP包前缀域内容的取舍


  设一个IP包为P,其前缀为x(P),用x(P)作为MD5算法中的Hash函数值f(x(P))的输入,则要求P在通过多跳路由器转发后,函数值f(x(P))仍是一个不变量·为了保证f(x(P))不变,要求x(P)保持不变·IP包前40个字节内容如表1所示,其中的域可分为两类·第一类域经过转发路由器的每一跳后,域值发生变化,如ToS服务类型域(8 15位),TTL(64 71位),IP(80先从TCPDump文件中读取一个目标IP包,然后向路由器5发出查询请求,路由器5对该请求认证身份后,向R4和R6发出查询请求,R4和R6将查询结果返回给R5,由R5将结果报告给G,G将最后查询结果报告给C·在实验环境中,追查到了所有想查询的IP包·


  4结论


  通过基于分布式记录、集中式追查系统的原型实现,证明基于代理的IP包主动反向追查是可行的·运行本系统,能够准确追查出IP包攻击的真正源·运行此系统不影响路由器转发性能,不必修改现有网络体系结构,不会造成正常通讯的泄密·目前网络所提供的资源可以满足本系统需求·网络安全的中心控制管理方式,符合网络管理发展趋势,接近于现实社会的安全管理模式·参考文献:


上一篇 下一篇