假冒源地址攻击具有容易实施、 不易被追溯的特点, 这种攻击行为在互联网上日益猖獗。该文总结了互联网假冒源地址问题、 探索其攻击的各种形式、 分析其带来的危害。 将假冒源地址攻击用3 个基本要素描述为: 攻击者A , 攻击目标V 和被假冒主机H。根据H 与A 和V 的相对拓扑结构, 将假冒源地址攻击归纳为在网外H0、攻击目标H1、攻击目标子网H2、攻击者子网H3、攻击者与攻击目标路径上H4及其他H5、H6 类。这将有助于清晰地理解真实地址问题, 指导假冒源地址防御技术的设计, 为建立保证源地址真实性的互联网体系结构奠定基础。
在目前互联网体系结构中,IP 地址具有双重重要特性, 即所在位置和身份, 而TCP? IP 协议体系中并没有对其进行有效的认证给予保证。随着互联网应用的深入, 一些主机利用这种协议缺陷隐藏自己, 进行位置和身份伪装, 在网络中进行破坏活动,严重扰乱了正常的网络运行秩序, 这就是假冒源地址问题。 假冒源地址攻击的危害包括直接发起攻击、散布虚假路由等网络关键信息、 诋毁受害者等, 同时这种攻击具有容易实施、 难以防范、 难以追溯攻击者的特点。据M IT 的IP 假冒源地址项目统计, 目前互联网中 “可能被欺骗” 的网络约占16%、IP 约占20%和自治系统约占24%。由此可见其严重性。目前绝大多数已有研究工作是基于DoS或DDoS攻击展开的,以回溯视角分析攻击的原因, 提出防御攻击对策。但是这种头痛医头, 脚痛医脚做法不能解决根本问题。假冒源地址起源于 IP层, 基于假冒网络拓扑结构分析更能清楚地理解问题本质。
目前绝大多数已有研究工作是基于DoS或DDoS攻击展开的, 以回溯视角分析攻击的原因, 提出防御攻击对策。但是这种头痛医头,脚痛医脚做法不能解决根本问题。假冒源地址起源于 IP层, 基于假冒网络拓扑结构分析更能清楚地理解问题本质。为此本文根据网络拓扑对互联网假冒源地址攻击进行全面系统的分类研究,以便于清晰地理解真实地址问题,有利于研究各种假冒源地址攻击的本质。 以备对不同类型的攻击采用不同的防御措施,为建立保证源地址真实性的互联网体系结构奠定基础。
1、假冒源地址攻击问题定义在目前TCP? IP 协议簇中, 源地址信息是由报文的发送者自行填入, 报文的发送者可以填入不真实的源地址信息, 隐藏自己的真实源地址, 冒充其他终端进行通信。假冒源地址攻击是攻击者通过互联网发送数据包时使用不被许可使用的地址, 以致目标主机信任为来自可信任主机的一种攻击方法。假冒源地址攻击也可通过无辜的第三方反射使报文接收者受到攻击。一个IP 包头中包含的源地址是否是其真正的源地址, 是假冒地址攻击的重要特征。虽然并不是所有的假冒源地址行为都能够构成攻击, 但是借助于假冒源地址来发起攻击, 造成巨大危害的可能性更大。本文将对假冒源地址攻击的分类进行深入研究。
2、假冒源地址攻击的分类
本文的研究重点是分清假冒来源, 建立科学类型体系, 为建立假冒源地址攻击防御模型做准备。 事实上目前已有方案能探测出主机是否能被假冒, 如上文提到的M IT 的IP 假冒源地址项目。 通过对假冒源地址攻击的类型收集与数量统计后发现, 假冒源地址攻击可用三要素描述为: 攻击者A , 攻击目标V 和被假冒主机H。全部IP 地址的全集定义为集合I , 其中所有在公网上激活有效的IP 定义为集合I′ 。针对集合I 作为全集, 与集合I′ 对应补集的 IP 定义为集合I″ 。根据定义显然集合I′ ∪ I″ = I , I′ ∩ I″ =á。攻击者A 的IP 集合定义用IA 表示, 攻击目标V的IP 集合定义用IV 表示, 与攻击者A 同一子网的IP集合定义用IAN表示, 与攻击目标V 同一子网的 IP集合定义用IVN表示, 攻击者A 与攻击目标V 通信路径上主机的IP 集合定义用I K 表示。在针对集合I′ 作为全集, 定义IO 为(IA∪IV∪IAN∪IVN∪I K)的补集,用来表示被假冒主机H 既不与V 或A 在同一子网,也不在A 与V 通信路径上, 即IO∪( IA∪IV∪IAN∪IVN∪I K) = I′ 。为了不失一般性, 在此考虑A 与V 在不同网段
的情况, 根据H 与A 和V 的相对拓扑分布进行分类讨论。
假冒源地址攻击可以归为H0 至H5、H6 类。这6类分别定义为:
H0 类, 被假冒主机H 不存在于公网或是没激活的源地址, H 0= {i? i∈I″ };
H1 类, 被假冒主机H 就是攻击目标, H 1= {i? i∈IV };
H2 类, 被假冒主机H 与V 是同一子网, H 2= {i? i∈IVN };
H3 类, 被假冒主机H 与A 是同一子网, H 3= {i? i∈IAN };
H4 类, 被假冒主机H 在A 与V 通信路径上, H 4= {i? i∈I K};
H5 类, 被假冒主机H 既不与V 或A 在同一子网, 也不在A 与V 通信路径上, H 5= {i? i∈IO }。
假冒源地址攻击分类集合示意图见图1。
图1 假冒源地址攻击分类集合表示示意图
当A 与V 在同一网段时, H2 类与H3 类是等同的, 两者合二为一, H4 类的情况不存在了, 将被删除, 6 类攻击将缩减为4 类。下面分别叙述这几类假冒源地址攻击。
H0 类, 被假冒主机H 不存在于公网或是没激活的源地址H0 类攻击的特征是攻击者通过假冒不存在或没激活 IP 源地址的方式来大量占用攻击目标V 的预留资源, 使得攻击目标无法正常为其他合法用户提供服务, 受害者是报文的接收方。在这里的 “不存在” 是指 I ANA 尚未分配的地址; 在公网上不可见的私有地址, 即RFC1918 定义的IP; RFC3330 中定义的自动分配地址、 回环地址和网络测试地址等3种表现形式的 “不存在” 。 H0 类假冒源地址攻击简化示意图见图2,
图2 H0 类假冒源地址攻击简化示意图
在图中A 表示攻击者, R 表示路由器, V 表示攻击目标, H0 表示H0 类被假冒主机。SYN f looding是这类攻击的典型方式。由于A 使用H0 类假冒源地址,V 的监听队列很快被填满, 这将导致V 的CPU 和内存资源空间耗尽, 从而导致DoS 攻击。 因此如果没有其他保护措施, 即使一个小数量的SYN f looding 也能使一台远程主机崩溃。不过在这类攻击中, A 只有使用H0 类欺骗源地
址才能实现。因为一个激活主机收到SYN + ACK包, 会响应复位包释放等待的半连接。SYN f looding 攻击是通过半连接等待耗费受害者资源, 阻止攻击目标处理连接的工作, 攻击的前提是攻击者假冒H0 类, 它是一种能够导致网络DoS或DDoS 的主要攻击方式。
H1 类, 被假冒主机H 就是攻击目标A 将其源地址设为V 的地址, 即假冒被攻击者地址, 可以实现反射式攻击、 直接攻击和陷害式攻击等3 种攻击方式。第一, A 通过不停地发送欺骗
ICM P 包到一个V 所在子网广播地址上, 响应包都将发送给V , V 被淹没在洪水般的报文中, 致使正常服务减弱, 甚至崩溃; 第二, A 直接发送相同源地址和目标地址的数据包到V , 致使V 试图向自己
发送响应信息, 导致V 受到干扰并会瘫痪或重启;第三, A 通过伪造V 的 IP 地址, 在网络中进行一些不合法的行为, 例如抢占带宽等。 尽管A 并不直接危害V , 但这种陷害式攻击实际上通过实际存在的管理规则使V 受到处罚。用简化示意图表示H1 类假冒源地址攻击如图3所示,
图3 H 类假冒源地址攻击简化示意图
在图中A 表示攻击者, R 表示路由器, V 表示攻击目标, H1 表示H1 类被假冒主机。Smu rf 攻击是典型的H1 类反射式攻击。 它利用H1 类 IP 欺骗和 ICM P 回复方法, 使网络因响应ICM P 回复请求而产生大量的数据流量, 导致网络严重拥塞或资源消耗, 引起目标系统拒绝为合法用户提供服务。 A 实现H1 类攻击, 欺骗中间网络, 使中间网络作为一个 “信号放大器” , 导致V 及所在网络
发生DoS, 甚至崩溃。著名的D rDoS (D ist r ibu tedref lect i on Den ial of Service)也是H1 类反射式攻击的典型范例, 利用反射器使攻击目标V 的链路饱和,甚至过载。TFN ( t r ibe f lood netwo rk )和L and 攻击是典型的H1 类直接攻击。 A 发送具有与被攻击目标地址相同的源地址和目的地址的数据报文, 同时设置好SYN 标记, 伪造的TCP SYN 数据包到达V 后将直接造成V 协义栈异常。第3 种方式的攻击利用了IP 地址在互联网络上同时是用户身份的特性。A 可能出于报复V 或不能直接攻击V , 通过伪造V 的 IP 地址, 在网络中进行一些破坏活动, 例如发送大量垃圾数据包, 攻击网络中关键设备等。在按照流量收取网络使用费用的情况下, V 有可能不得不为伪造成自身源地址的流量交付费用。
H2 类, 被假冒主机H 与V 在同一子网A 伪造与V 同一子网源地址的数据包, 使IP 报文好像是从同一子网上的主机发来的, 能有效地抵制出入口过滤。事实上这类攻击往往利用H 是V 的信任主机这一特性, 建立TCP 连接进行假冒源地址攻击。用简化示意图表示H2 类假冒源地址攻击如图4所示,
图4 H2 类假冒源地址攻击简化示意图
在图中A 表示攻击者, R 表示路由器, V 表示攻击目标, H2 表示H2 类被假冒主机。基于TCP 连接欺骗的盲目攻击是具有这类攻击特性的典型实例。A 假冒目标信任的主机H2, 与V 进行 TCP 连接。TFN 2K ( t r ibe f lood netwo rk2000)也是H2 类假冒源地址攻击, 它是TFN 的升级, 主要更新就是加入H2 类假冒源地址特性。
H3 类, 被假冒主机H 与A 在同一子网Bounce Scan是H3 类假冒源地址攻击典型实例, A 为了得到V 的回复, 欺骗同一子网H3 并且监视反馈到H3 的网络流量。为了确保在扫描过程中没
有其他包发送到H3, A 应该选择有很少或没有流量主机欺骗(如网络打印机或在深夜)。攻击目的是获取V 开放端口号, 探测没有开放的端口。用简化示意图表示H3 类假冒源地址攻击如图5所示,
图5 H3 类假冒源地址攻击简化示意图
在图中A 表示攻击者, R 表示路由器, V 表示攻击目标, H3 表示H3 类被假冒主机。这种攻击利用了 IP 头中识别号字段规律特性, 即这个字段值会随着每个包的发送增加1。 A 应用这种技术发送欺骗SYN 包到V 探测端口, 若其端口关闭, 则V 反馈复位包。 若其端口是开放的, 则V 反馈到欺骗源一个响应包。在目前TCP? IP 协议中, 被欺骗的主机关于复位包收条没有采取任何措施。
这是一种假冒与自己同一子网主机的特殊扫描攻击, 利用流量少主机在一定时间内不发包的特性,探测V 开放端口, 往往是其他攻击的前奏。 更让人不安的是这类攻击能有效避免uRPF (un icast Reverse Path Fo rw arding)的过滤。
H4 类, 被假冒主机H 在A 与V 通信路径上在H4 类攻击中往往H 是A 与V 通信路径上的关键设备, 当A 假冒通往V 路径上的关键设备如DNS、路由器、 邮件服务器等时, 由于网络中的关键
设备被假冒, 容易造成虚假DNS 信息、 虚假路由散布, 从而使路由器改向, 广播不合法的路由信息, 从而引起网络流量按攻击者设计的流向。用简化示意图表示H4 类假冒源地址攻击如图6 所示,
图6 H4 类假冒源地址攻击简化示意图
在图中A 表示攻击者, R 表示路由器, V 表示攻击目标,H4 表示H4 类被假冒主机。伪造的路由信息造成的路由转向是这类攻击的一种常见方式, 路由欺骗根据所使用的包的类型不同, 有基于 ICM P 的路由欺骗和基于R IP ( rou t ing informat i on p ro toco l)的路由欺骗2 类。在互联网体系结构中, 路由器这类关键设备被欺骗, 攻击力度大, 产生影响范围大。在防御 IP 源地址假冒的方案
中对这类假冒源地址应该给予足够重视。
H5 类, 被假冒主机H 既不与V 或A 在同一子网, 也不在A 与V 通信路径上H5 类攻击是指A 不需要借助于H 与V 在拓扑上特殊关系, 是其他5 类攻击的补充。通过假冒无明显关系的 IP, 实现发送控制信息, 以达到控制傀儡机的目的, 同时隐藏了自己。 在实现上或者结合其他攻击方式或者采取2 个H5 类攻击组合, 比如中间人攻击M ITM (man2in2the2 m iddle)就是2 个H5 类攻击典型组合。如果将原通信两方用V1 和V2 表示, 则A假冒V 1 地址与V 2 通信, 同时假冒V 2 地址与V 1 通信。A 能够与V 1 和V 2 建立活动连接并允许其读取或篡改传递的信息, 然而V 1 和V 2 却认为他们是在互相通信。
