摘要：该文通过对IP追踪技术进行总结，回顾了IP追踪的起源，按照主动和被动性对其进行分类，分析了各个IP追踪方法的基本

　　中图分类号：TP39文献标识码：A文章编号：100－3044（200）22－6111－02

　　随着Internet在商业活动中的重要性不断增长，网络攻击特别是拒绝服务（DoS攻击也在不断增加。IP追踪技术能够使受害主

　　机的网络管理员识别发起DoS攻击的大量数据包的真正源头，对于尽快恢复正常的网络功能、阻止再次发生攻击以及最终让攻击

　　者为此负责非常重要。IP追踪技术的设计目标是：定位特定流的转发路径；在此基础上尽量减少路由器的工作量；能向受害者提供

　　近年来，针对IP追踪技术的研究发展很快，特别是在追踪DOS和DDOS攻击源方面提出了很多新颖有效的方法。本文简要介

　　绍了问题提出的背景，对当前IP追踪技术进行分类同时对主要技术原理进行了介绍分析，并列举了IP追踪面临的问题，最后对IP

　　根据IP追踪的主动被动性，可以将现有的IP追踪技术分为两大类：主动式追踪和反应式追踪。

　　主动式追踪是在数据包传输过程中记录追踪所需的信息。需要进行追踪时，参考这些记录信息，识别出攻击源。主动式追踪在

　　受害者发现攻击时就可以追踪攻击的发起者，这样可以防止DDoS攻击的进一步加剧，而且它并不要求分布式拒绝服务攻击必须一

　　直持续到回溯处理的结束。典型的方法包括包标记法、路由记录法以及ICMP消息法等。

　　反应式追踪是在检测到攻击之后，才开始利用各种技术从攻击目标反向追踪到攻击源。反应追踪必须在攻击还在实施时完成，

　　否则，一旦攻击停止，反应追踪技术就会失效。反应追踪的关键问题是要开发有效的反向追踪算法和分组匹配技术。典型的方法包

　　当IP包经过路由器时，每个路由器在包中标记上一些信息通常这些信息包括路由器的地址、与受害者相隔的距离等，当受害

　　者收到大量这样的被标记的包，就可以提取和分析这些标记信息重构攻击路径、确定攻击源。数据包标记技术一般由标记和路径重

　　构两个过程构成，标记过程由路由器完成，主要是对数据包进行信息附加。而重构路径过程则由受害者完成，受害者使用被标记的

　　数据包中的信息重构攻击路由。目前的包标记技术主要有随机包标记法和固定包标记法。

　　：尽管IP包头部的源地址可以伪造，但每个IP包仍然要经过攻击者与受害者之间的路由转发。当IP包

　　经过这些路由器时，每个路由器以一定的概率在其中标记上一些信息通常这些信息包括路由器的地址、与受害者相隔的距离等，

　　当受害者受到大量的这样被标记的包后，就可以提取和分析这些标记信息重构出攻击路径，确定攻击源。该方法最主要的优点是对

　　路由器造成的负担非常有限，并且支持逐步扩展，以及很好的事后处理能力。缺陷在于路径重构的计算负载过重；用于标记的位不

　　够和路径重构算法造成了高出错率；事先不知道路径长度，使得在参数设置可能不是很恰当。这些不足使得它不适合于大规模

　　DDoS攻击。目前比较成熟的PPM算法包括基于分片的PPM算法、基于Hash编码的PPM算法，以及基于代数编码的PPM算法。

　　只在入口边界路由器进行包标记。它用IP头的16位ID字段和1个保留位来记录标记信息。每个入口边界路

　　由器的IP地址被分为两段，每段16位。当一个包通过路由器的时候，随机选择该IP地址的一段并用保留位来标志该段为前段还

　　是后段，总共17位进行填充。这种算法的思想就是当受害者一旦得到一个入口边界路由器的两个字段，就可以得到这个路由器的

　　IP地址。DPM的原理与PPM类似，但它们的实现方式有两点重要差异：①PPM需要攻击路径上的所有路由器都参与路径信息的标

　　记，而DPM只需要第一个入口边界路由器具有标记功能；②PPM中的路由器对经过的IP包以一定的概率进行标记，而DPM则是

　　网络攻击的最终目标是找到攻击的发起者，所以 DPM 中对入口地址进行标记的方法，相比较 PPM 中所有路径进行标记的方法

　　而言，对问题的解决显得更为简洁有效。该方法克服了 PPM 中路径构造算法复杂，误暴率高的缺陷，并且健壮性也有所提高，而且具

　　有追踪小流量攻击和反射攻击的潜力，是一种很具有使用价值的追踪技术。 但是 DPM 的有效性极其依赖于边界路由器支持的范围

　　。 该方法要求在路由器上加入数据日志功能， 以记录下所有来往数据包的信息， 受到攻

　　击后可以用数据挖掘等方法找到相关信息追踪入侵者。 但是由于日志信息会占用路由器大量的系统资源，同时还需要一个大规模

　　的数据库来支持日志信息的收集和分析，这将极大地增加网络负担，影响了该方法的现实应用。 针对存储包本身内容过大，产生了

　　基于哈希方法的包日志的 IP 追踪，路由器计算和存储每个自己转发的包的信息摘要，这种方法可以由单个包追踪到发包源。包摘要

　　的存储空间和与反向追踪时包日志访问时间限制了这种算法在高速连接的路由器中的实现。 目前已有了基于该方法的追踪系统

　　该方法是在ICMP 协议的基础上发展起来的。 主要依靠路由器自身产生的 ICMP 跟踪消息。 每个路由器都以很低的概率 比如：

　　／ 200 000）产生 ICMP 消息，并随数据包一起将该 ICMP 发送到目的分组。 这种 ICMP 信息包含了路由信息，当泛洪攻击开始的时候，

　　受害者主机就可以利用这些 ICMP 消息来重新构造攻击者的路径。这种方法有很多优点，但是也有一些缺点。比如：iTrace 包容易被正

　　常数据流淹没，或者在传输过程中被防火墙过滤掉。 同时，这种方法还必须处理攻击者可能发送的伪造 ICMP Traceback 消息。

　　这种方法要求受害者在检测到自己遭到了攻击后，从收到的攻击包中提取出它们共有的一些特性，然后以某种方式通知网络

　　管理员。 网络管理员针对这些共有特性，在受害者的上一条路由器的输出端口上过滤具有该特性的数据包，同时发现转发这些数据

　　包的上游链路，从而找到上一级路由器。 上一级路由器再重复该过程，直到找到攻击源。 由于需要网络管理员的介入使得整个方法

　　具有相当大的人工管理量，一些国外的 ISP 联合开发的工具能够在它们的网络中进行自动的追踪，但是这种办法最大的问题就是管

　　理花费。 而且，联系多个 ISP 并在多个 ISP 之间协调也是件非常费时费力的工作。

　　对付匿名攻击的方法就是消除伪造源地址的能力，这种方法，通常就是入口过滤，它的原理就是通过配置路由器去阻止非法源

　　地址数据包通过。 这必然要求路由器有足够能力去分析每个包的源地址，并且有足够的能力把非法的源地址和合法的源地址区别

　　开来。 因此，j9九游会真人游戏第一品牌入口过滤在 ISP 的边缘或者客户网络中作用更加重要，处理的数据包也更加明确，并且流量负载相对低些。 如果包是从

　　多个 ISP 汇合进入，就没有足够的信息去明确判断数据包是否拥有＂合法的＂源地址。 分析数据报源地址的工作会给高速路由器造成

　　过重的计算负担，以高速连接来说，对于许多路由器架构，实现入口过滤太不实际了。 入口过滤的主要问题是它的效能依赖于大范

　　的配置。 不幸的是，主要的 ISP，也许是绝大多数不提供这样的服务。 第  个问题就是，即便入口过滤机制在客户－ISP 之间普遍

　　该方法基于现有的 IP 安全协议。 当入侵检测系统 IDS）检测到一个攻击后，Internet 密钥交换协议 IKE）在受害主机和管理域的

　　一些路由器 如边界路由器）之间建立 Ipsec 安全关联 Sas）。位于 SA 末端的路由器转发分组时需要增加 Ipsec 首部和包含路由器 IP

　　地址隧道 IP 首部。如果某个 SA 检测到攻击分组，那么该攻击就一定是来自于相应路由器外面的网络。接收者根据隧道 IP 首部的源

　　地址可以找出转发攻击分组的路由器。递归的重复这个过程，即可最终找到攻击源。由于该技术采用了现有的 Ipsec 和 IKE 协议，所

　　以在管理域内追踪时无需实现新的协议而在域之间追踪时则需要有专用的协作协议的支持。

　　用一种方法来对付 DoS 或 DDoS 攻击是不够的， 任何一种单一的方

　　一个跳板。 IP 追踪不能识别跳板后面最终的攻击源。 另外一个问题是追踪系统的配置。 大多数追踪技术要求对网络进行一定的改

　　变，包括增加路由器功能和改变分组。为了推广追踪技术应用，应在实现时减少这些要求，尽量做到与现有网络兼容。在 IP 追踪技术

　　被广泛应用前还有些操作上的问题需解决。 通过不同的网络进行追踪，对追踪应该有一个共同的策略。 为保护隐私还应有一些方针

　　来指导处理追踪结果。 未来，IDS（入侵检测系统）和 IP 追踪系统的联动

　　在广泛利用 IP 追踪技术之前，还要解决一些问题：①即使 IP 追踪技术找到了攻击的源主机，那台主机也很可能只是攻击的一

　　个代理机器。 IP 追踪方法无法识别背后真正的攻击源，这是一个亟待解决的问题。 ②要通过不同的网络追踪分组，就必须有一个追

　　踪的公共策略。 而且需要一些规则来处理追踪结果，避免侵犯隐私。 ③需要考虑如何使用 IP 追踪所识别的攻击源信息。 可能还需要

　　IP 反向追踪是打击网络犯罪的必经阶段，它不仅是查找攻击者的重要手段，而且对提供网络犯罪的罪证也具有非常重要的作

　　用。 因此 IP 反向追踪技术引起越来越多的重视。 业界虽然提出了很多不同的方法，但是要追踪真正的攻击发起者，还有很多急需解

　　决的问题。 当前，主动追踪技术已成为 IP 追踪技术研究的主流方向。 IP 追踪技术起源于网络安全，随着网络安全的发展而发展。 一

　　些新兴网络技术如无线网络、自组织网络、传感器网络等的出现，必然会促进 IP 追踪技术的发展

　　本文对当前提出的多种 IP 追踪方法进行了介绍和系统分类， 归纳比较了各种方法的优缺点， 探讨了 IP 反向追踪的进一步研

　　［3］ 闫巧，吴建平．网络攻击源追踪技术的分类和展望［J］．清华大学学报，2005，45（4）：497－500．

　　［4］ 段珊珊，左明． 一种新的确定性包标记 IP 追踪算法的研究［J］．计算机应用与软件，2005，22（4）：102－104

　　［5］ 屠鹏，荆一楠，付振勇，等．基于反向节点标记的攻击源追踪方法［J］．计算机工程与设计，2006，27（18）：3314－3317．

　　［6］ 任伟．分布式网络入侵取证追踪系统的设计与研究［J］．网络安全技术与应用，2005，4（5）：29－31．

　　在上述清单，* 表示可以出现 0 个或多个，+表示可以出现一个或多个，？ 表示可以出现 个或一个

　　证签名的密钥，而元素包含了 XML 签名所需要的附加属性元素是整个 XML 签名中最重要的核心元素，它包

　　含了 XML 签名中最重要的信息，例如指定了被签署数据的位置被签署数据的变换算法、摘要算法，元素包含了三个子

　　XML 加密、XML 数字签名通过对 XML 消息本身进行基于密码术的加密安全处理

　　从而达到数据安全的目的，XML 加密保证了消息的安全性、XML 签名进一步保证了消

　　息的不可抵赖性，正是这些优点使得 XML 安全技术相比于传统安全技术得到更广泛的