IP izleme - IP traceback

IP izleme güvenilir bir şekilde belirlemek için herhangi bir yöntemdir. paket İnternette. IP protokol, kaynağın kimlik doğrulamasını sağlamaz IP adresi adı verilen bir stratejide kaynak adresinin tahrif edilmesini sağlayan bir IP paketinin IP adresi sahtekarlığı ve potansiyel internet güvenliği ve kararlılık sorunları yaratmak.

Yanlış kaynak IP adreslerinin kullanılması, hizmet reddi saldırıları (DoS) veya tek yönlü saldırılar (kurban ana bilgisayardan gelen yanıt o kadar iyi bilinir ki, saldırıya devam etmek için dönüş paketlerinin alınması gerekmez.[açıklama gerekli ]). IP izleme, saldırı kaynaklarının belirlenmesi ve İnternet için koruma önlemlerinin alınması açısından kritik önem taşır. Bu soruna yönelik mevcut yaklaşımların çoğu, DoS saldırı tespitine göre uyarlanmıştır. Bu tür çözümler, saldırı yol (lar) ında yakınsamak için yüksek sayıda paket gerektirir.

Olasılıklı paket işaretleme

Savage vd.[1] İnternet üzerinden yönlendiricilerden geçerken paketlerin olasılıkla işaretlenmesini önerdi. Yönlendiricinin, paketi yönlendiricinin IP adresiyle veya paketin yönlendiriciye ulaşmak için geçtiği yolun kenarlarıyla işaretlemesini önerirler.

İlk alternatif için, paketleri yönlendiricinin IP adresiyle işaretlemek için analiz, doğru saldırı yolunu% 95 doğrulukla elde etmek için 294.000 paketin gerekli olduğunu göstermektedir. İkinci yaklaşım, kenar işaretleme, bir kenarı oluşturan iki düğümün, aralarındaki mesafe ile birlikte IP adresleriyle yolu işaretlemesini gerektirir. Bu yaklaşım, her pakette basit düğüm işaretlemesinden daha fazla durum bilgisi gerektirecek, ancak çok daha hızlı bir şekilde birleşecektir. Bu yaklaşımların durum bilgilerini daha yönetilebilir bir şeye indirgemek için üç yol önerirler.[1]

İlk yaklaşım, ÖZELVEYA her bir düğüm birbiriyle yolda bir kenar oluşturur. Düğüm a IP adresini paketin içine ekler ve gönderir b. Tespit edildiğinde b (uzakta bir 0 tespit ederek), b Adresiyle birlikte XORs a. Bu yeni veri varlığına kenar kimliği adı verilir ve kenar örneklemesi için gereken durumu yarıya indirir. Sonraki yaklaşımları bu kenar kimliğini daha da alıp parçalamaktır. k daha küçük parçalar. Ardından, rastgele bir parça seçin ve parça ofsetiyle birlikte kodlayın, böylece doğru karşılık gelen parça işlem için aşağı yöndeki bir yönlendiriciden seçilir.Yeterli paket alındığında, kurban, paket serilerinin geçtiği tüm kenarları yeniden oluşturabilir ( birden fazla saldırganın varlığında bile).[1]

Parçalanmış bir kenar kimliğini yeniden oluşturmak için gereken çok sayıda kombinasyon nedeniyle, Song ve Perrig'in araştırmasına göre böyle bir saldırı grafiğinin yeniden oluşturulması hesaplama açısından yoğun. Dahası, yaklaşım çok sayıda yanlış pozitif ile sonuçlanır. Örnek olarak, bir DDoS saldırısında yalnızca 25 saldıran ana bilgisayarla yeniden yapılandırma sürecinin oluşturulması günler alır ve binlerce yanlış pozitifle sonuçlanır.[2]

Buna göre, Song ve Perrig şu geri izleme şemasını önermektedir: bir ile aralanmış IP adresini kodlamak yerine karma IP adresinin 11 bitlik bir karma olarak kodlanmasını ve her ikisi de 16 bitlik parça kimliği alanında saklanan 5 bitlik bir atlama sayısının korunmasını önerirler. Bu, 5 bitlik bir atlama sayısının (maksimum 32 atlama) neredeyse tüm İnternet yolları için yeterli olduğu gözlemine dayanmaktadır. Ayrıca, işaretlemelerdeki yönlendiricilerin sırasının belirlenebilmesi için iki farklı karma işlevin kullanılmasını önerirler. Daha sonra, herhangi bir atlama işaretlemeye karar verirse, önce 0 için mesafe alanını kontrol eder, bu da önceki bir yönlendiricinin onu zaten işaretlediğini gösterir. Durum buysa, kendi IP adresinin 11 bitlik bir karmasını oluşturur ve ardından bunu önceki atlama ile XOR'tur. Sıfır olmayan bir atlama sayısı bulursa, IP karmasını ekler, atlama sayısını sıfıra ayarlar ve paketi iletir. Bir yönlendirici paketi işaretlememeye karar verirse, yalnızca aşırı yüklenmiş parça kimliği alanındaki atlama sayısını artırır.[2]

Song ve Perrig, bunun çarpışmalara karşı yeterince sağlam olmadığını tespit eder ve bu nedenle, bir dizi bağımsız karma işlevi kullanmayı, birini rastgele seçmeyi ve ardından IP'yi bir FID veya işlev kimliğiyle birlikte karma hale getirmeyi ve ardından bunu kodlamayı önerir. Bu yaklaşımın esasen çarpışma olasılığını (1 / (211) m) 'ye düşürdüğünü belirtmişlerdir. Daha fazla ayrıntı için bkz. Song ve Perrig.[2]

Deterministik paket işaretleme

Belenky ve Ansari, deterministik bir paket işaretleme şemasının ana hatlarını çiziyor. Bağlantı sınırı olan LAN'lar ve AS'lerden oluşan İnternet için daha gerçekçi bir topoloji tanımlıyorlar ve ağ girişi noktasında gelen paketlere tek bir işaret koymaya çalışıyorlar. Fikirleri, rasgele 0,5 olasılıkla giriş arayüzünün IP adresinin üst veya alt yarısını paketin parça kimliği alanına koymak ve ardından adresin hangi bölümünün içinde yer aldığını gösteren bir yedek bit ayarlamaktır. parça alanı. Bu yaklaşımı kullanarak, sadece 7 paketten sonra .99 olasılıkla 0 yanlış pozitif elde edebileceklerini iddia ediyorlar.[3]

Rayanchu ve Barua, bu yaklaşımda (DERM olarak adlandırılır) başka bir dönüş sağlar. Yaklaşımları, paketin parça kimliği alanında giriş arayüzünün IP adresini kullanmak ve kodlanmış IP adresini kullanmak istemeleri bakımından benzerdir. Belenky ve Ansari'den farklı oldukları nokta, IP adresini bu IP adresinin 16 bitlik bir hash'i olarak kodlamak istemeleridir. Başlangıçta bilinen bir hash işlevi seçerler. İşaretlemeyi yapan 2 ^ 16'dan daha fazla kenar yönlendiricisi olsaydı bazı çarpışmalar olacağını belirtirler.[4]

Evrensel kümeden rastgele dağıtılmış bir hash işlevi seçimi sunarak ve ardından bunu IP adresine uygulayarak çarpışma sorununu azaltmaya çalışırlar. Her iki karma senaryoda, kaynak adresi ve karma, daha sonra arama için bir tabloda birlikte eşleştirilir ve adresin hangi bölümünü aldıklarını belirten bir bit ile birlikte. Karmaşık bir prosedür ve rastgele bir hash seçimi yoluyla, adres çakışmasını azaltabilirler. Belirleyici bir yaklaşım kullanarak, markaları için yeniden yapılandırma prosedürlerinin süresini azaltırlar (16 bitlik karma). Bununla birlikte, bu işareti karma yoluyla kodlayarak, çarpışma olasılığını ve dolayısıyla yanlış pozitifleri ortaya çıkarırlar.[4]

Shokri ve Varshovi "Dinamik Belirleyici Paket Markalama" (DDPM) ile Dinamik Markalama ve Markaya Dayalı Tespit kavramlarını tanıttı. Dinamik işaretlemede, saldırı ajanlarını büyük ölçekli bir DDoS ağında bulmak mümkündür. Bir durumunda DRDoS kurbanın saldırıyı kaynağa doğru bir adım daha takip etmesini, bir ana makine veya gerçek saldırganı yalnızca birkaç paketle bulmasını sağlar. Önerilen işaretleme prosedürü, işaret tabanlı algılama yoluyla mağdurda DRDoS saldırı algılama olasılığını artırır. İşaret tabanlı yöntemde, algılama motoru, bir DDoS saldırısına dahil olan tek bir sitenin değişen kaynaklarını belirlemek için paketlerin işaretlerini dikkate alır. Bu, tespit olasılığını önemli ölçüde artırır. Tatmin etmek için uçtan uca argümanlar yaklaşmak, kader paylaşımı ve ayrıca ölçeklenebilir ve uygulanabilir şemalara duyulan ihtiyaca saygı duyarak, yalnızca kenar yönlendiriciler basit bir markalama prosedürü uygular. Kenar yönlendiricilere eklenen oldukça ihmal edilebilir miktarda gecikme ve bant genişliği ek yükü, DDPM'yi uygulanabilir hale getirir.[5]

S. Majumdar, D. Kulkarni ve C. Ravishankar, DHCP ICDCN 2011'deki paketler. Yöntemleri, aşağıdakileri içeren yeni bir DHCP seçeneği ekler. Mac Adresi ve DHCP paketini alan kenar anahtarının giriş portu. Bu yeni seçenek, DHCP paketine kenar anahtarı tarafından eklenecektir. Bu çözüm DHCP RFC'leri izler. Önceki IP geri izleme mekanizmaları, geri izleme bilgileriyle aşırı IP başlık alanlarına sahipti ve bu nedenle IP RFC'leri ihlal ediyordu. Diğer mekanizmalar gibi, bu makale de ağın güvenilir olduğunu varsaymaktadır. Makale, bu pratik yaklaşımı tasarlarken göz önünde bulundurulan yönlendiriciler / anahtarlardaki çeşitli performans sorunlarını sunar. Bununla birlikte, bu yaklaşım herhangi bir genel IP paketi için geçerli değildir.[6]

Yönlendirici tabanlı yaklaşım

Yönlendirici tabanlı yaklaşımlarla, yönlendirici, içinden geçen paketlerle ilgili bilgileri korumakla yükümlüdür. Örneğin, Sager paketleri günlüğe kaydetmeyi ve daha sonra veri madenciliğini yapmayı önerir. Bunun, bant dışı olma ve dolayısıyla hızlı yolu engellememe faydası vardır.[kaynak belirtilmeli ]

Snoeren vd. yönlendirici içinde işaretleme önerin. Makalelerinde önerilen fikir, paketin değişmez kısımlarına (kaynak, hedef, vb.) Ve ilk 8 baytlık yüke (düşük bir çarpışma olasılığına sahip olacak kadar benzersizdir) dayalı olarak paketin bir parmak izini oluşturmaktır. ). Daha spesifik olarak, m bağımsız basit hızlı arama fonksiyonlarının her biri 2n-1 aralığında bir çıktı üretir. Daha sonra, diğer tüm karma işlevlerin çıktısı ile birleştirildiğinde bir parmak izi oluşturmak için oluşturulan dizinde bir bit ayarlanır. Tüm parmak izleri, daha sonra alınmak üzere 2n bitlik bir tabloda saklanır. Makale, bu amaca uygun basit bir karma işlevler ailesini gösterir ve bunun bir donanım uygulamasını sunar.[7]

Her yönlendiricide ihtiyaç duyulan alan sınırlıdır ve kontrol edilebilir (2n bit). Küçük n paket karmalarının çarpışma olasılığını (ve yanlış tanımlamayı) artırır. Bir paket geriye doğru izlenecek olduğunda, parmak izi eşleşmelerinin kontrol edildiği kaynak yönlendiricilere iletilir. Zaman geçtikçe, parmak izi bilgisi, diğer paketler tarafından oluşturulan karmalar tarafından "yıpranır". Bu nedenle, bu yaklaşımın seçiciliği, paketin geçişi ile geri izleme sorgulaması arasında geçen zamanla azalır.[7]

Yönlendirici tabanlı şemalara ilişkin bilinen başka bir yaklaşım, Hazeyama ve ark. Yaklaşımlarında, SPIE yaklaşımını Snoeren tarafından özetlendiği şekilde entegre etmek istiyorlar,[7] ağ kimliğiyle birlikte katman 2 bağlantı kimliğini kaydetme yaklaşımlarıyla (VLAN veya gerçek kimlik), paketi alan katman 2 anahtarının MAC adresi ve geldiği bağlantı kimliği. Bu bilgiler daha sonra iki arama tablosuna yerleştirilir - her ikisi de arama için anahtar (katman 2 yönlendirici) MAC kimliğini içerir. Bir paketi geri izleme yöntemi olarak MAC: bağlantı noktası demetine güvenirler (MAC adresi sahte olsa bile).[8]

Depolama sınırlamaları sorununu hafifletmeye yardımcı olmak için Snoeren'in karma yaklaşımını ve uygulamasını (SPIE) kullanıyorlar - karma oluşturma için bilgilerini kabul edecek şekilde değiştiriyorlar. Algoritmalarının yavaş olduğunu (O (N2)) ve yalnızca 3,3 milyon paket karmasının saklandığını, özet tablolarının geçersiz hale gelmesinden önceki yaklaşık sürenin 1 dakika olduğunu kabul ediyorlar. Bu, herhangi bir saldırı yanıtının gerçek zamanlı olması gerektiğini belirtir - bu, yalnızca tek yönetimli LAN etki alanlarında bir olasılıktır.[8]

Bant dışı yaklaşımlar

ICMP geri izleme şeması Steven M. Bellovin olasılıksal olarak düşük olasılıkla bir IP paketinin hedef ana bilgisayarına bir ICMP geri izleme paketi göndermeyi önerir. Böylece, durumu pakette veya yönlendiricide tutma ihtiyacı ortadan kalkar. Ayrıca, düşük olasılık, işlem yükünü ve bant genişliği gereksinimini düşük tutar. Bellovin, saldırı patlamalarını zamanlama girişimlerini engellemeye yardımcı olmak için seçimin aynı zamanda sözde rastgele sayılara da dayanmasını öneriyor. Bu yaklaşımla ilgili sorun, yönlendiricilerin genellikle kendileriyle ilişkili güvenlik sorunları nedeniyle ICMP mesajlarını engellemesidir.

Aktif saldırı akışlarının izlenmesi

Bu tür bir çözümde, bir gözlemci, saldırı altındaki ana bilgisayardan başlayarak yönlendiricilerdeki gelen ve giden bağlantı noktalarını inceleyerek mevcut bir saldırı akışını izler. Bu nedenle, böyle bir çözüm, saldırı yolu boyunca yönlendiricilere ayrıcalıklı erişime sahip olmayı gerektirir.

Stone, bu kısıtlamayı aşmak ve bu süreci otomatikleştirmek için, şüpheli paketleri bir yer paylaşımlı ağ ISP uç yönlendiricileri kullanarak. Topolojiyi basitleştirerek, şüpheli paketler daha fazla analiz için özel bir ağa kolayca yeniden yönlendirilebilir.

DoS'nin doğası gereği, bu tür herhangi bir saldırı, mümkün olacak şekilde izleme için yeterince uzun ömürlü olacaktır. Katman-üç topoloji değişiklikleri, kararlı bir saldırganı maskelemek zor olsa da, yönlendirme değişikliği keşfedilene ve ardından buna uyarlanana kadar DoS'yi hafifletme olasılığına sahiptir. Saldırgan uyum sağladıktan sonra, yeniden yönlendirme şeması bir kez daha uyarlayabilir ve yeniden yönlendirebilir; DoS saldırısında bir salınıma neden olmak; Böyle bir saldırının etkisini absorbe etme yeteneği kazandırır.

Diğer yaklaşımlar

Hal Burch ve William Cheswick bu taşkınların saldırı akışını nasıl etkilediğini belirlemek için kontrollü bir bağlantı akışı önerin. Bir bağlantının tıkanması, saldırganın paketleri de dahil olmak üzere tüm paketlerin aynı olasılıkla düşmesine neden olur. Buradan şu sonuca varabiliriz ki, belirli bir bağlantı taşınırsa ve saldırganın paketleri yavaşlarsa, bu bağlantı saldırı yolunun bir parçası olmalıdır. Ardından, saldırı yolu keşfedilene kadar, yinelemeli olarak yukarı akış yönelticileri bu testi gerçekleştirmeye "zorlanır".[9]

Geri izleme sorunu sahte paketler nedeniyle karmaşıktır. Böylelikle sahte paketleri önlemek için ilgili bir çaba hedeflenir; olarak bilinir giriş filtreleme. Giriş Filtreleme, bu yönlendiriciyi kullanabilen meşru kaynak ağları kümesini izleyerek sahte paketleri ağa giriş noktalarında kısıtlar.

Park ve Lee, Katman 3'te Giriş Filtrelemenin bir uzantısını sunarlar. Bunlar, esasen mevcut olanı kullanarak, en azından alt ağda, yanlış paketleri tespit etmenin bir yolunu sunarlar. OSPF yönlendiricilerin bir paketin yönlendirilip yönlendirilmeyeceği konusunda akıllı kararlar almasını sağlamak için yönlendirme durumu.[kaynak belirtilmeli ]

Referanslar

  1. ^ a b c Savage, Stefan; D. Wetherall; A. Karlin; T. Anderson (2000). "IP Traceback için Pratik Ağ Desteği" (PDF). ACM SIGCOMM. Stockholm, İsveç. Alındı 2008-11-18.
  2. ^ a b c Şarkı, Şafak; A. Perrig (2001). "IP Traceback için Gelişmiş ve Kimliği Doğrulanmış İşaretleme Düzenleri" (PDF). INFOCOM 2001. s. 878–886. Alındı 2008-11-23.
  3. ^ Belenky, Andrey; Nirwan Ansari (2007). "Belirleyici paket işaretlemede". Bilgisayar ağları. 51 (10): 2677–2700. doi:10.1016 / j.comnet.2006.11.020.
  4. ^ a b Rayanchu, Shravan K .; Gautam Barua (22–24 Aralık 2004). "Belirleyici Kenar Yönlendirici İşaretlemesi (DERM) ile Saldırganları İzleme". Dağıtık Hesaplama ve İnternet Teknolojisi, Birinci Uluslararası Konferans. Bhubaneswar, Hindistan. sayfa 400–409.
  5. ^ Shokri, Reza; A. Varshovi; H. Mohammadi; N. Yazdani; B. Sadeghian (13–15 Eylül 2006). "DDPM: IP Traceback için Dinamik Belirleyici Paket İşaretleme". IEEE Uluslararası Ağlar Konferansı. Singapur. s. 1–6.
  6. ^ Majumdar, Saugat; D. Kulkarni; C. Ravishankar (2011). "Ethernet Anahtarlı Ağlarda DHCP Kaynak Geri Dönüşü" (PDF). ICDCN. Arşivlenen orijinal (PDF) 2011-06-22 tarihinde. Alındı 2010-09-22.
  7. ^ a b c Snoreren, Alex C .; C. Keklik; L. A. Sanchez; C. E. Jones; F. Tchakountio; B. Schwartz; S. T. Kent; W. T. Strayer (2002). "Tek paket IP izleme". IEEE / ACM Trans. Ağ. 10 (6): 721–734. CiteSeerX  10.1.1.14.1277. doi:10.1109 / TNET.2002.804827.
  8. ^ a b Hazeyama, Hiroaki; Y. Kadobayashi; D. Miyamoto; M. Oe (26-29 Haziran 2006). "Ağ Operasyonunun Sınırları Boyunca Alanlar Arası Geri Dönüş için Otonom Bir Mimari". 11. IEEE Bilgisayar ve İletişim Sempozyumu Bildirileri. Cagliari, Sardinya, İtalya. s. 378–385.
  9. ^ Burch, Hal; Bill Cheswick (2000). "Anonim Paketleri Yaklaşık Kaynaklarına Kadar İzleme" (PDF). LISA. sayfa 319–327.