台大的研究重點放在 TCP/IP 網路的追蹤的相關技術,主要目的是經由攻擊封包 中的資訊,找出攻擊者的位置或其所在的大約位置。追蹤的問題之所以困難,主 要是因為基礎的 IP 協定中的封包來源是由發送者自己提供,並且沒有提供相對 可能必要的認證資訊,所以讓攻擊者可以很容易地偽造大量來源不實的資訊來混 淆追蹤者。針對這些特性,有不少相關方法被提出來解決這個問題。這些方法將 在下面作一簡短說明。
入口過濾法(Ingress Filtering)
攻擊的封包常出現不實的來源位址,不正確的位址使得追蹤者無法得知攻擊者所 在的位置。入口過濾法就是其中一種可以用來解決這個問題的方法,這種作法最 主要是利用路由器來過濾掉來源位址不正確的封包。
如上圖中所顯示的,各路由器都以數字標示,如果攻擊者的目標是位於 4 號 路由器,而攻擊者從 7 號路由器傳送封包,而它所偽裝的位置是經由路由器 2 才 可以達到路由器 4。很明顯地,如果路由器 7 有足夠的資訊,它可以判斷這個假 造的封包不會由它傳到路由器 4(因為路由器 2 傳到路由器 4 的封包不經過路由器 7),因此它可以將之過濾掉。
這個辦法很簡單易懂,對於過濾資料來源不合法的封包也很有效,但是有一 些缺點。首先,路由器通常只知道部分的網路路由器狀況,所以有時能作的過濾 很有限,以之前的例子為例,如果這個假造的封包的來源是屬於路由器 8,則無 法被過濾,因為路由器 8 的封包要經過它才能到路由器 4。一般來說,這個方法 對 ISP 這類的系統最可行,不過,這些額外的需求,不只會增加路由器的運算量,
也會增加管理的成本。這個方法對追蹤者來說有一個額外的好處,就是追蹤者可 以把攻擊者的位置縮小到更精確的區域。
連結測試法(Link Testing)
這個方法的精神是,追蹤者先從最接近被攻擊者的路由器開始找起,確認攻擊封
包是由那一個路由器來的,確定了後,再往路由器的上一層找,重覆這個程序直 到找到攻擊者為止。這個方法最主要用在攻擊還持續在進行的時候。
如上圖所示,假設 A2是攻擊者,而 V 是被攻擊者,追蹤者首先確定攻擊封
包是來自路由器 R1,然後確定來自 R2,R2之上有 R3及 R4,而只有 R3有傳送攻
擊的封包,依此類推,直到找到 A2為止。而其中又有兩種不同的作法:
z 輸入除錯法(Input Debugging)
有很多的路由器都含有輸入除錯的功能,這是指路由器管理者可以經由過濾出口 的某些特定封包的入口是那裡,而這個功能可以用來追蹤。首先,被攻擊者要從 各個攻擊封包中找出一些共有的特性,然後,將這些特性交給路由器管理者,管 理者就可以用這個資訊來過濾到被攻擊者的出口的封包的入口(來源)在那裡。往 上一直重覆這個步驟就可以找出攻擊的源頭,這類工作可由管理者或是自動化的 程序來處理。
這個方法的最主要問題是,要有管理者的參與。而且事關數個路由器,就算 有自動化的工具,也不能保證這些路由器的除錯工能會完全相容,這會造成相當 大的負擔。
z 控制淹沒法(controlled flooding)
由於上一個方法在應用上需要路由器管理者的協助,所以針對這個缺點,另一個 被用追蹤攻擊來源的方法被提出來。這個方法被稱為控制淹沒法,是因它以傳輸 大量的封包來對攻擊者封包造成的影響,來找出攻擊者的位置。其原理在於對一 個路由器來說,緩衝區空間都是共用的,大量的封包會造成從攻擊者收到的封包 有排擠的效果。而追蹤者可利用這些變化來猜出攻擊的所在。
不過這個方有一個主要的問題就是,這個方法會產生大量的封包,可能會被 當成是一種攻擊,這對網路上其他不相干的機器來說是個負擔,而且被攻擊者必 須對網路的路由器結構有很清楚的了解才能有效利用這個方法。對於分散式的攻 擊者來說,這個方法也不適用,因為不論對被攻擊者或網路本身來說,負荷都過 大。
記錄法(Logging)
利用一個封包截取系統(PCS,Packet Capture System)的輔助,除了可以記錄以 外,還可以做到包括除錯等更複雜的工作或分析,而且可以在路由器本身不支援 的情形下也可運作。
這個方法的最大好處就是 PCS 是獨立於路由器之外的,換句話說就是不需 要路由器提供的特殊協助,有了更大的彈性,而且分析記錄可以在攻擊停止之 後。其缺點就是要負擔額外的設備,及可能需要的大量儲存裝置。
ICMP 回溯法(ICMP Traceback)
這個方法主要是由路由器另外產生特殊的 ICMP 回溯訊息,然後用這個訊息來做
封包標記法(Packet Marking)
為了將路由器的負擔減到最小,利用現有的封包的表頭來夾帶一些可用來追蹤的 資訊的方法就是封包標記法。這個方法主要分成兩個部分,標記演算法以及路徑 重組演算法。標記演算法是由路由器來執行,用來將資料加入現有的封包表頭 中,包括路徑中位置的 xor 值,及用來檢查的雜湊值,而追蹤者收集這些有被標 記的封包,利用其中的資訊來推算出封包的來源位置。
User 1