IP traceback

El IP traceback es un nombre dado a cualquier método para determinar de fuentes fidedignas el origen de un paquete en Internet. Debido a la naturaleza confiada del protocolo IP, la Dirección IP de la fuente de un paquete no se certifica. Como consiguiente, la dirección de origen en un paquete IP se puede falsificar (Falsificación de la dirección IP) tener en cuenta el Desmentido del Servicio ataca (DOS) o ataques de dirección única (donde la respuesta de la multitud de víctimas es tan conocida que los paquetes de vuelta no se tienen que recibir para seguir el ataque). El problema de encontrar la fuente de un paquete se llama el IP traceback el problema. El IP Traceback es una capacidad crítica de identificar fuentes de ataques e instituir medidas de protección para Internet. La mayor parte de enfoques existentes a este problema se han adaptado hacia el descubrimiento de ataque de DoS. Tales soluciones requieren que números altos de paquetes converjan en el camino (s) de ataque.

Marca del paquete de Probabilistic

Salvaje et al. la marca de probabilistically sugerida de paquetes ya que cruzan gestores de tráfico a través de Internet. Proponen que el gestor de tráfico marque el paquete con la Dirección IP del gestor de tráfico o con los bordes del camino que el paquete cruzó para alcanzar el gestor de tráfico.

Para la primera alternativa, marcando paquetes con la Dirección IP del gestor de tráfico, el análisis muestra que a fin de ganar el camino de ataque correcto con la exactitud del 95% hasta 294,000 paquetes se requieren. El segundo enfoque, marca del borde, requiere que los dos nodos que arreglan un borde marquen el camino con sus Direcciones IP junto con la distancia entre ellos. Este enfoque requeriría más información estatal en cada paquete que la marca del nodo simple, pero convergiría mucho más rápido. Sugieren tres modos de reducir la información estatal de estos enfoques en algo más manejable.

El primer enfoque es a XOR cada nodo que forma un borde en el camino el uno con el otro. El nodo unos encartes su Dirección IP en el paquete y lo envía a b. Para descubrirse en b (descubriendo 0 en la distancia), b XORs su dirección con la dirección de a. Esta nueva entidad de datos se llama un borde id y reduce el estado requerido para el borde que prueba a la mitad.

Su siguiente enfoque debe tomar adelante este borde id y fragmentarlo en fragmentos más pequeños k. Entonces, al azar escogido un fragmento y lo codifica, junto con la compensación del fragmento de modo que el fragmento correspondiente correcto se seleccione de un gestor de tráfico río abajo para el procesamiento.

Cuando bastantes paquetes se reciben, la víctima puede reconstruir todos los bordes la serie de paquetes cruzados (hasta en la presencia de atacantes múltiples).

Debido al número alto de combinaciones requeridas reconstruir un borde fragmentado id, la reconstrucción de tal gráfico de ataque es computacionalmente intensiva según la investigación por Song y Perrig. Además, el enfoque causa un gran número de positives falso. Como un ejemplo, con sólo 25 anfitriones de ataque en DDoS atacan el proceso de reconstrucción toma días para construir y causa miles de positives falso.

En consecuencia, Song y Perrig proponen el esquema traceback siguiente: en vez de codificar la Dirección IP intercaló con un picadillo, aconsejan codificar la Dirección IP en un picadillo de 11 trozos y mantienen a una cuenta de salto de 5 trozos, ambos almacenados en el fragmento de 16 bites campo de ID. Esto está basado en la observación que una cuenta de salto de 5 bites (32 saltos del máximo) es suficiente para casi todas las rutas de Internet. Adelante, sugieren que dos funciones diferentes que desmenuzan se usen de modo que el pedido de los gestores de tráfico en las marcas se pueda determinar. Después, si algún salto dado decide marcarlo primero examina el campo de la distancia para ver 0, que implica que un gestor de tráfico anterior lo ha marcado ya. Si es así, genera un picadillo de 11 bites de su propia Dirección IP y luego XORs esto con el salto anterior. Si encuentra que un salto distinto a cero cuenta inserta su IP-picadillo, pone a la cuenta de salto al cero y adelante el paquete en. Si un gestor de tráfico decide no marcar el paquete simplemente incrementa el salto incluyen el fragmento sobrecargado id campo.

Song y Perrig identifican esto esto no es bastante robusto contra colisiones y así aconseje usar un juego de funciones del picadillo independientes, al azar seleccionando un, y luego desmenuzando el IP junto con un FID o función id y luego codificando esto. Declaran que este enfoque esencialmente reduce la probabilidad de colisión a (1 / (211) m). Ya que los más detalles ven Song y Perrig.

Marca del paquete determinista

Belenky y Ansari, perfile un esquema de marca del paquete determinista. Describen una topología más realista para Internet – que se forma de LANes y CULO con un límite conectador – y tentativa de poner una señal sola sobre paquetes entrantes al punto del ingreso de la red. Su idea es poner, con la probabilidad arbitraria de.5, la mitad superior o inferior de la Dirección IP del interfaz del ingreso en el fragmento id campo del paquete, y luego poner un trozo de la reserva que indica qué parte de la dirección se contiene en el campo del fragmento. Usando este enfoque afirman ser capaces de obtener 0 positives falso con.99 probabilidad después de sólo 7 paquetes.

Rayanchu y Barua proveen otra vuelta en este enfoque (llamó DERM). Su enfoque es similar en esto desean usar y Dirección IP codificada, del interfaz de la entrada, en el fragmento id el campo del paquete. Donde se diferencian de Belenky y Ansari es que desean codificar la Dirección IP como un picadillo de 16 bites de esa Dirección IP. Al principio eligen una función conocida que desmenuza. Declaran que habría algunas colisiones si allí fueran mayores que 2^16 gestores de tráfico del borde que hacen la marca.

Intentan mitigar el problema de colisión introduciendo una selección distribuida arbitraria de una función del picadillo del juego universal, y luego aplicándolo a la Dirección IP. En el uno o el otro guión que desmenuza, trazan un mapa de la dirección de origen y el picadillo juntos en una mesa para la consulta posterior junto con indicar un poco qué parte de la dirección han recibido. A través de un procedimiento complicado y una selección del picadillo arbitraria, son capaces de reducir la colisión de la dirección. Usando un enfoque determinista reducen el tiempo para su procedimiento de reconstrucción de su señal (el picadillo de 16 trozos). Sin embargo, codificando esa señal a través de desmenuzar introducen la probabilidad de colisiones, y así falso-positives.

Shokri y Varshovi introdujeron los conceptos del Descubrimiento que marca y basado en Mark Dinámico con "el Paquete Determinista Dinámico marcar," (DDPM). En la marca dinámica de ello es posible encontrar a los agentes de ataque en una red de DDoS a gran escala. En caso de DRDoS permite a la víctima remontar el ataque un paso más atrás a la fuente, encontrar una máquina del maestro o el verdadero atacante con sólo unos números de paquetes. El procedimiento de marca propuesto aumenta la posibilidad del descubrimiento de ataque de DRDoS en la víctima a través del descubrimiento basado en la señal. En el método basado en la señal, el motor de descubrimiento tiene las señales en cuenta de los paquetes para identificar fuentes variadas de un sitio solo implicado en un ataque de DDoS. Esto considerablemente aumenta la probabilidad de descubrimiento. A fin de satisfacer el enfoque de argumentos de punta a punta, compartimiento del destino y también respetar a la necesidad de esquemas escalables y aplicables, sólo los gestores de tráfico del borde ponen en práctica un procedimiento de marca simple. La cantidad bastante insignificante de tardanza y amplitud de banda arriba añadida a los gestores de tráfico del borde hace el DDPM implementable.

S.Majumdar, D.Kulkarni y C.Ravishankar proponen un nuevo método a traceback el origen de paquetes DHCP en 2011 ICDCN. Su método añade una nueva opción DHCP que contiene la dirección MAC y el puerto del ingreso del interruptor del borde que había recibido el paquete DHCP. Esta nueva opción será añadida al paquete DHCP por el interruptor del borde. Esta solución sigue DHCP-RFCs. Los mecanismos IP-Traceback anteriores han sobrecargado campos de jefe IP con la información traceback y así violan IP RFCs. Como otros mecanismos, este papel también supone que confíen en la red. El papel presenta varias cuestiones de rendimiento en gestores de tráfico/interruptores que se consideraron diseñando este enfoque práctico. Sin embargo, este enfoque no es aplicable a ningún paquete IP general.

Gestor de tráfico enfoque basado

Con el gestor de tráfico enfoques basados, el gestor de tráfico se acusa del mantenimiento de la información en cuanto a paquetes que pasan por ello. Por ejemplo, Sager propone de registrar paquetes y luego los datos los minan más tarde. Esto tiene la ventaja de ser del grupo y así no dificultar el camino rápido.

Snoeren. proponen de marcar dentro del gestor de tráfico. La idea propuesta en su artículo es generar una huella digital del paquete, basado en las partes invariantes del paquete (fuente, destino, etc.) y primeros 8 bytes de la carga útil (que es bastante único para tener una probabilidad baja de la colisión). Más expresamente, m de funciones del picadillo simples independientes cada uno genera una salida en la variedad de 2n-1. Un poco se pone entonces en el índice generado para crear una huella digital cuando combinado con la salida de todas otras funciones del picadillo. Todas las huellas digitales se almacenan en un 2n mesa del trozo para la recuperación posterior. El papel muestra a una familia simple de funciones del picadillo convenientes para este fin y presente una realización del hardware de él.

El espacio necesario en cada gestor de tráfico se limita y controlable (2n trozos). Pequeño n hace la probabilidad de la colisión de picadillos del paquete (e identificación falsa) más alto. Cuando un paquete se debe remontar, se expide a gestores de tráfico iniciales donde los partidos de la huella digital se comprueban. Como el tiempo pasa, la información de la huella digital es "cascada" por picadillos generados por otros paquetes. Así, la selectividad de este enfoque degrada con el tiempo que ha pasado entre el paso del paquete y la interrogación traceback.

El otro conocido toma los esquemas basados en el gestor de tráfico viene de Hazeyama et al. En su enfoque, desean integrar el enfoque de SPIE como perfilado por Snoeren, con su enfoque de registrar la capa 2 relación-id junto con la red ID (VLAN o ID verdadero), la Dirección MAC de la capa 2 interruptor que recibió el paquete y la relación id entró en. Esta información se pone entonces en dos mesas de consulta – ambos conteniendo el interruptor (capa 2 gestor de tráfico) MAC id para la consulta. Confían en el MAC:port tuple como un método de hacer remontar un paquete (aun si la Dirección MAC se ha parodiado).

Para ayudar a mitigar el problema de limitaciones de almacenaje usan el enfoque que desmenuza de Snoeren y la realización (SPIE) – modificación de ello para aceptar su información para desmenuzar. Confiesan que su algoritmo es lento (O (N2)) y con sólo 3.3 millones de picadillos del paquete almacenados el tiempo aproximado antes de que las mesas del resumen sean inválidas es 1 minuto. Esto dicta que cualquier respuesta de ataque debe ser de tiempo real – una posibilidad sólo en esferas del LAN solas administrativas.

Enfoques del grupo

El ICMP traceback esquema Steven M. Bellovin propone probabilistically que el envío de un ICMP traceback paquete expide al anfitrión del destino de un paquete IP con un poco de probabilidad baja. Así, la necesidad de mantener el estado en el paquete o en el gestor de tráfico se evita. Además, la probabilidad baja guarda el procesamiento arriba así como el requisito de la amplitud de banda bajo. Bellovin sugiere que la selección también está basada en pseudonúmeros arbitrarios para ayudar a bloquear tentativas a estallidos de ataque del tiempo. El problema con este enfoque consiste en que los gestores de tráfico comúnmente bloquean mensajes ICMP debido a cuestiones de seguridad asociadas con ellos.

Remóntese de flujos de ataque activos

En este tipo de solución, un observador rastrea un flujo de ataque existente examinando puertos de entrada y sociables en gestores de tráfico que comienzan del anfitrión bajo el ataque. Así, tal solución requiere habiendo privilegiado el acceso a gestores de tráfico a lo largo del camino de ataque.

Para evitar esta restricción y automatizar este proceso, la Piedra propone el encaminamiento paquetes sospechosos en una red de revestimiento usando gestores de tráfico del borde de ISP. Simplificando la topología, los paquetes sospechosos se pueden fácilmente reencaminar a una red especializada para el análisis adicional.

Esto es un enfoque interesante. En la naturaleza de DoS, cualquier tal ataque suficientemente mucho tiempo se vivirá para rastrear de tal moda de ser posible. La capa tres cambios de la topología, mientras con fuerza a la máscara a un atacante decidido, tiene la posibilidad de aliviar DoS hasta que el cambio del encaminamiento se descubra y posteriormente se adapte a. Una vez que el atacante se ha adaptado, el esquema de reencaminamiento puede adaptar otra vez y reencaminar; causar una oscilación en el ataque de DoS; la concesión de un poco de capacidad de absorber el impacto de tal ataque.

Otros enfoques

Burch y Cheswick proponen una inundación controlada de relaciones para determinar cómo esta inundación afecta la corriente de ataque. La inundación de una relación hará que todos los paquetes, incluso paquetes del atacante, se dejen caer con la misma probabilidad. Podemos concluir de esto que si una relación dada se inundara, y paquetes del atacante reducido la marcha, entonces esta relación debe ser la parte del camino de ataque. Entonces recurrentemente río arriba los gestores de tráfico "se imponen" en la realización de esta prueba hasta que el camino de ataque se descubra.

El problema traceback se complica debido a paquetes parodiados. Así, un esfuerzo relacionado se apunta hacia la prevención de paquetes parodiados; conocido como filtración del ingreso. La Filtración del ingreso restringe paquetes parodiados a puntos del ingreso a la red rastreando el juego de redes de la fuente legítimas que pueden usar este gestor de tráfico.

El parque y Lee presentan una extensión de la Filtración del Ingreso en la capa 3. Presentan un medio de descubrir paquetes falsos, al menos a la subred, haciendo esencialmente el uso del estado del encaminamiento de OSPF existente para tener gestores de tráfico toman decisiones inteligentes sobre si un paquete se debería derrotar.



Buscar