互联网中IP源地址伪造及防护技术.pdf

专题:高可信网络与网络安全 专题 高可信网络与网络安全 : 互联网中IP源地址伪造及防护技术* 姚 广,毕 军 (清华大学信息网络工程研究中心 北京 100084) 摘 要 当前的互联网上出现了越来越多地使用伪造源地址发起网络攻击的行为。这种攻击行为容易发动 且难以被追查出,如何降低攻击带来的危害,制止攻击的发生和追查攻击者真实身份成为一个重 要问题。本文总结了伪造源地址攻击的攻击方式,并分析了现有的伪造源地址防御技术。 关键词 伪造源地址;互联网;防护 [1] 地址 ,这样报文的接收方才知道将回复发往哪一个地址。 1 引言 出于某种特殊目的,报文的发送方将报文中携带的源地址 随着互联网使用环境的变化,互联网技术的缺陷正 修改为任意地址,这种行为称为伪造源地址。由于当前的 逐渐暴露出来,其中不保证源地址的真实性便是一个重 互联网没有完全部署对使用伪造源地址的报文进行过滤 要问题。互联网之初主要用于学术 目的,当时假设网络 的机制,并且路由器对报文的转发只是基于报文的目的地 中的所有设备都是可信任的,因此报文在转发过程中没 址,这些报文一般情况下可以正常到达 目的地,因此通过 有认证源地址的真实性。而在当前复杂的互联网环境 伪造报文源地址可以发起某些网络攻击行为。因为难以发 下,这种网络设备普遍可信的情况早已不复存在,与之 现伪造源地址报文的真实源头,所以在攻击发生之后很难 相反,每一台设备都可能伪造其源地址来达成特殊 目 追查出真正的攻击者。伪造源地址的攻击容易被发动却难 的。当今,通过伪造源地址来辅助发起网络攻击的行为 以被追查的特点,使得这类攻击在互联网上极为普遍。解 十分频繁。据统计,一周内借助伪造源地址发起的DoS 决源地址伪造,保证报文中源地址的真实性,就是所说的 攻击至少有 4000起。因此,保证报文中源地址的真实性 真实地址问题。 成为当前急需解决的问题。 3 伪造源地址攻击的类型 2 伪造源地址及真实地址问题的定义 并不是所有的伪造源地址行为都能够构成攻击。单 为了在互联网中进行正常的通信,报文的发送方必须 纯的、不以攻击为目的的伪造源地址行为对互联网的危害 在发送的报文的源地址字段填写分配给发送方的真实 IP 是很微小的,但是伪造源地址被用来发起攻击,则有可能 产生巨大的危害。确定伪造源地址的攻击类型有助于更加 清晰地了解真实地址问题。按照攻击者伪造地址的不同和 国家 “ ”计划( )和国家科技支撑计划 “可信 * 973 No.2003CB314801 受害者的不同,可以将伪造源地址攻击分为以下 类。 3 任互联网”资助项目 26 电信科学 年第 期